¡Pide presupuesto en 2 min! ✓
LOPDGDD & RGPD

Derecho a la limitación del tratamiento. ¿En qué consiste?

7 Mins read

El derecho a la limitación del tratamiento es uno de los derechos exigidos por el Reglamento General de Protección de Datos de la UE (RGPD). Previa solicitud, una organización debe dejar de utilizar los datos personales de una persona, aunque puede seguir almacenándolos. Es una alternativa a solicitar el borrado de datos y lo más probable es que se ejerza cuando las personas cuestionan la exactitud de la información, la forma en que se procesa o si desean que se borren los datos, pero la organización tiene la obligación legal de conservarlos. Vamos a analizar este derecho, cómo debe ejercerse, cuándo se ejercerá y qué debe hacer la empresa ante la que se solicita.

¿Qué es el derecho a la limitación del tratamiento?

El RGPD otorga a los interesados ​​el derecho a limitar el tratamiento de datos personales sobre ellos en determinadas circunstancias. Esto significa que un interesado puede limitar la forma en que una organización utiliza los datos sobre él. Esta es una alternativa a solicitar el borrado de datos.

Aunque el derecho a la limitación del tratamiento es distinto del derecho a la rectificación y el derecho a oponerse, está estrechamente vinculado a ellos. Si un interesado ha cuestionado la exactitud de los datos y ha solicitado rectificarlos, también tiene derecho a solicitar la limitación del tratamiento mientras se considera la rectificación u objeción.

Las personas tienen derecho a restringir el procesamiento de sus datos personales cuando tengan un motivo particular para desear la restricción. Esto puede deberse a que tienen problemas con el contenido de la información que posee o con la forma en que ha procesado sus datos. En la mayoría de los casos, no se pedirá que restrinja los datos personales de una persona de manera indefinida, pero deberá tener la restricción en vigor durante un cierto período de tiempo.

¿Dónde se recoge en el RPGD?

El derecho a la limitación del tratamiento de datos personales se regula en el artículo 18 del RGPD. En este artículo se otorga a las personas el derecho a restringir el procesamiento de sus datos personales en determinadas circunstancias.

Se establecen los casos en los que puede ejercitarse dicho derecho y lo que debe hacer el responsable del tratamiento en caso de recibir esa solicitud.

¿Cuáles son sus dos vertientes?

El derecho a restringir el procesamiento no es un derecho absoluto. Los interesados ​​tienen derecho a solicitar la limitación del tratamiento de sus datos personales en las siguientes circunstancias:

  • Cuando la persona impugne la exactitud de sus datos personales hasta que se resuelva esa solicitud;
  • Si los datos fueron procesados ​​ilegalmente (es decir, violando el requisito de legalidad del RGPD), y el interesado se opone al borrado y solicita la restricción en su lugar;

Por tanto, las dos vertientes de este derecho son:

  • Reclamar la inexactitud de los datos personales
  • Procesamiento ilícito

¿Cuándo se puede ejercer?

Las personas tienen derecho a solicitar a una empresa que restrinja el procesamiento de sus datos personales en las siguientes circunstancias:

  • El individuo impugna la exactitud de sus datos personales y el responsable del tratamiento está verificando la exactitud de los datos.
  • Los datos han sido procesados ​​ilegalmente y la persona se opone a la eliminación y solicita la restricción en su lugar.
  • La empresa ya no necesita los datos personales, pero la persona necesita que los conserve para establecer, ejercer o defender una reclamación legal.
  • La persona se ha opuesto a que se procesen sus datos en virtud del artículo 21 del RGPD, y la empresa está considerando si sus motivos legítimos prevalecen sobre los de la persona.

Aunque esto es distinto del derecho de rectificación y el derecho a oponerse, existen vínculos estrechos entre esos derechos y el derecho a restringir el procesamiento:

  • Si una persona ha cuestionado la exactitud de sus datos y ha pedido a la empresa que los rectifique, también tiene derecho a solicitarle que limite el procesamiento mientras considera su solicitud de rectificación.
  • Si una persona ejerce su derecho a oponerse al tratamiento de sus datos personales, también tiene derecho a solicitarle que restrinja el procesamiento mientras se considera su solicitud de objeción.

Por lo tanto, como una buena práctica, se debe restringir automáticamente el procesamiento mientras se considera su precisión o los motivos legítimos para procesar los datos personales en cuestión.

¿Cómo han de cumplir las empresas con la limitación del tratamiento?

La empresa debe contar con procesos que le permitan restringir los datos personales si es necesario. Es importante señalar que la definición de procesamiento incluye una amplia gama de operaciones, incluida la recopilación, estructuración, difusión y borrado de datos. Por lo tanto, debe utilizar métodos de restricción que sean adecuados para el tipo de procesamiento que está realizando.

El RGPD sugiere una serie de métodos diferentes que podrían usarse para restringir los datos, como:

  • Mover temporalmente los datos a otro sistema de procesamiento,
  • Hacer que los datos no estén disponibles para los usuarios,
  • Eliminar temporalmente los datos publicados de un sitio web.

Es particularmente importante que consideres cómo almacenas los datos personales que ya no necesitas procesar, pero la persona te ha solicitado que restrinjas (solicitando efectivamente que no borres los datos).

Si estás utilizando un sistema de archivo automatizado, debes utilizar medidas técnicas para garantizar que no se pueda realizar ningún procesamiento adicional y que los datos no se puedan cambiar mientras la restricción esté vigente. También debes tener en cuenta en tu sistema que el procesamiento de estos datos ha sido restringido.

Si has revelado los datos personales en cuestión a otros, debes comunicarte con cada destinatario e informarles de la restricción de los datos personales, a menos que esto sea imposible o implique un esfuerzo desproporcionado. Si te lo solicita, también debes informar a la persona sobre estos destinatarios.

El RGPD define un destinatario como una persona física o jurídica, autoridad pública, agencia u otro organismo al que se divulgan los datos personales. La definición incluye controladores, procesadores y personas que, bajo la autoridad directa del controlador o procesador, están autorizados a procesar datos personales.

¿Qué información deben presentar al interesado?

La empresa debe cumplir con una solicitud de limitación del tratamiento sin demoras indebidas y, a más tardar, dentro del mes siguiente a la recepción de la solicitud o (si es posterior) dentro del mes siguiente a la recepción de:

  • Cualquier información solicitada para confirmar la identidad del solicitante.
  • Una tarifa (solo en determinadas circunstancias).

Debes calcular el límite de tiempo desde el día en que recibes la solicitud (sea hábil o no) hasta la fecha calendario correspondiente del mes siguiente.

Si esto no es posible porque el mes siguiente es más corto (y no hay una fecha de calendario correspondiente), la fecha de respuesta es el último día del mes siguiente.

Si la fecha correspondiente cae en fin de semana o festivo, tienes hasta el siguiente día hábil para responder.

Esto significa que el número exacto de días que tienes para cumplir con una solicitud varía, dependiendo del mes en el que se realizó la solicitud.

A efectos prácticos, si se requiere un número constante de días (por ejemplo, para fines operativos o del sistema), puede ser útil adoptar un período de 28 días para garantizar que el cumplimiento siempre esté dentro de un mes calendario.

Puedes extender el tiempo para responder dos meses más si la solicitud es compleja o si has recibido varias solicitudes de la persona. Debes informar a la persona dentro de un mes de recibir su solicitud y explicar por qué es necesaria la extensión.

Si tienes dudas sobre la identidad de la persona que realiza la solicitud puedes solicitar más información. Sin embargo, es importante que solo solicites la información necesaria para confirmar quién es. La clave de esto es la proporcionalidad. Debes tener en cuenta qué datos tienes, la naturaleza de los datos y para qué los estás utilizando.

¿Qué ocurre si la empresa no cumple con la limitación del tratamiento?

Si se aplica una exención, puedes negarte a cumplir con una solicitud de limitación del tratamiento (total o parcialmente). No todas las exenciones se aplican de la misma manera, y debes examinar cada exención detenidamente para ver cómo se aplica a una solicitud en particular.

También puedes negarte a cumplir con una solicitud si es:

  • Manifiestamente infundada.
  • Excesiva.

Para decidir si una solicitud es manifiestamente infundada o excesiva, debes considerar cada solicitud caso por caso. No deberías tener una política general.

Debes poder demostrarle a la persona por qué consideras que la solicitud es manifiestamente infundada o excesiva y, si te lo solicita, explicar tus razones a la AEPD.

Una solicitud puede ser manifiestamente infundada si:

  • El individuo claramente no tiene intención de ejercer su derecho a la limitación. Por ejemplo, una persona hace una solicitud, pero luego ofrece retirarla a cambio de algún tipo de beneficio de la organización.
  • La solicitud tiene intenciones maliciosas y se está utilizando para acosar a una organización sin ningún otro propósito real que no sea causar interrupciones. Por ejemplo:
    • El individuo ha declarado explícitamente, en la solicitud misma o en otras comunicaciones, que tiene la intención de causar una interrupción;
    • La solicitud hace acusaciones sin fundamento contra ti o empleados específicos;
    • La persona está apuntando a un empleado en particular contra quien tiene algún rencor personal; o
    • El individuo le envía sistemáticamente diferentes solicitudes como parte de una campaña, por ejemplo, una vez a la semana, con la intención de causar interrupciones.

Una solicitud puede ser excesiva si:

  • Repite el fondo de solicitudes anteriores.
  • Se superpone con otras solicitudes.

Sin embargo, depende de las circunstancias particulares. No será necesariamente excesivo solo porque el individuo:

  • Realiza una solicitud sobre el mismo problema. Un individuo puede tener razones legítimas para realizar solicitudes que repiten el contenido de solicitudes anteriores. Por ejemplo, si el responsable del tratamiento no ha gestionado correctamente las solicitudes anteriores.
  • Hace una solicitud superpuesta, si se relaciona con un conjunto de información completamente separado; o
    solicitudes presentadas anteriormente que hayan sido manifiestamente infundadas o excesivas.

Si te niegas a cumplir la solicitud de limitación del tratamiento, debes informar a la persona sin demora indebida y dentro del mes siguiente a la recepción de la solicitud.

Debes informar a la persona sobre:

  • Las razones por las que no estás tomando medidas.
  • Su derecho a presentar una queja ante la AEPD.
  • Su capacidad para tratar de hacer cumplir este derecho a través de un recurso judicial.

También debes proporcionar esta información si solicitas una tarifa razonable o necesitas información adicional para identificar a la persona

Modelo de ejercicio de limitación del tratamiento

Aquí te dejo el modelo de solicitud del derecho a la limitación del tratamiento en formato Word y PDF.

En Word

Modelo derecho a la limitación del tratamiento en Word

En PDF

Modelo derecho a la limitación del tratamiento en PDF

Avatar

About author
Licenciada en derecho por la Universidad de Oviedo, Máster de Propiedad Industrial, Propiedad Intelectual, Competencia y Nuevas Tecnologías por la Fundación PONS y la Universidad Rey Juan Carlos. Experiencia en la gestión y tramitación de Patente, Modelos de Utilidad y Diseños industriales a nivel Internacional. Abogada especializada en materia de protección de datos, realizando adaptación, seguimiento y auditorías, así como desempeñando la función de Delegado de Protección de Datos. Experta en el registro de Marcas a nivel nacional y europeo.
Articles
Related posts
LOPDGDD & RGPD

¿Qué tipos de cookies existen y para qué sirven?

14 Mins read
Las cookies pueden ayudar a proporcionar una experiencia de usuario única y personalizada. Pero, ¿cuáles son los diferentes tipos de cookies? ¿Para…
LOPDGDD & RGPD

Cambios en el uso de las cookies 2020. Cumple con la normativa

6 Mins read
La Agencia Española de Protección de Datos (AEPD) ha puesto en marcha nuevas medidas de obligado cumplimiento para el uso de cookies….
LOPDGDD & RGPD

Protección de datos genéticos. Todas las claves

12 Mins read
La intersección de la atención médica y la tecnología es un área en rápido crecimiento. Un campo próspero en esta intersección implica…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.