¿Qué es el derecho al olvido en el RGPD?
Los usuarios de Internet están más preocupados por el "derecho al olvido" desde que entró en vigor la ley general de protección de datos (RGPD) en los últimos años. Es importante entender cómo funciona realmente el "derecho al olvido".
El cumplimiento del derecho al olvido puede ser complicado, al igual que ocurre con cualquier otra parte del RGPD. Hay implicaciones tanto para el interesado como para la organización que pretende utilizar datos personales o información sensible sobre un individuo. Todas las empresas de la Unión Europea (UE) deben estar familiarizadas con las obligaciones legales que impone el RGPD y comprender el derecho al olvido.
¿Qué se entiende por derecho al olvido?
El derecho al olvido es lo que se conoce como el artículo 17 del RGPD, aunque popularmente se conoce más como el derecho a ser olvidado. Según el artículo 17, una persona tiene derecho a pedir a un responsable del tratamiento que elimine todos sus datos personales sin demora innecesaria y sin cobrar nada. Esto incluye cualquier archivo o información que pueda haber sido transferida a un archivo, incluyendo:
- Copias duplicadas
- Copias de seguridad
- Registros de bases de datos
- Otras formas de datos personales
Los términos de responsable y encargado del tratamiento de datos se explican explícitamente en el RGPD. La parte legalmente responsable de conservar los datos personales almacenados digitalmente se conoce como responsable del tratamiento de datos. La organización que almacena o procesa datos personales pero no asume la propiedad o el control de los datos se conoce como procesador de datos. Normalmente, un proveedor de servicios en la nube se considera un procesador de datos en el contexto del RGPD.
El procesador de datos no puede almacenar copias de los datos ni hacerlos accesibles para otros fines. Por lo tanto, el proceso de toma de decisiones no es responsabilidad del responsable del tratamiento, sino que es su responsabilidad eliminar los datos personales, asegurarse de que se han eliminado y llevar a cabo todos los procedimientos necesarios.
Todas las empresas y organizaciones que desarrollen su actividad en la Unión Europea deben poder cumplir el derecho de supresión establecido en el Reglamento. De lo contrario, se enfrentan al riesgo de multas masivas.
Supresión de datos personales
Un ciudadano de la UE tiene derecho, en virtud del RGPD, a solicitar a cualquier empresa o institución que elimine sus datos personales si:
- Los datos ya no corresponden a la finalidad para la que se recopilaron.
- Una persona retira su permiso para que la organización utilice sus datos (y si no hay otra base legal para que la organización recopile los datos).
- La persona se opone a que sus datos se recopilen con fines de marketing o cuando sus derechos pesan más que las razones legales para obtener la información (como cuando se trata de información sensible sobre un niño).
- Los datos se han tratado indebidamente.
- La supresión de los datos es necesaria para cumplir un requisito legal.
- La información se intercambió por "servicios de la sociedad de la información" y pertenecía a un menor.
Excepciones al "derecho al olvido"
Hay varias circunstancias en las que una empresa puede afirmar que está exenta de la norma o que es realmente necesario conservar los datos de una persona. Sin embargo, los criterios para tal solicitud son abiertos. Las personas tienen la opción de solicitar la supresión si consideran que no hay base justificable para que una empresa trate sus datos, si se oponen al tratamiento o si simplemente retiran su permiso para el tratamiento.
Videovigilancia y CCTV según el RGPD
La información sobre una persona física que la identifica se denomina datos personales. Por lo tanto, las imágenes de vídeo pueden considerarse datos personales. Los sistemas comerciales de vídeovigilancia son un ejemplo de cómo las empresas utilizan imágenes de vídeo de una persona para tratar datos personales.
Los interesados son las personas a las que se vigila. Tienen derecho a los datos personales. El responsable del tratamiento debe responder si deciden ejercer sus derechos como interesados. Todos los derechos previstos en el RGPD se aplican a los interesados. Pero cuando se trata de videovigilancia, deben tenerse especialmente en cuenta los derechos de acceso, supresión y oposición. Usted puede protegerse si ha sido objeto de videovigilancia presentando una solicitud como interesado.
Cualquier empresa o persona que gestione un sistema de vigilancia está catalogada como responsable o encargado del tratamiento de datos y, como tal, tiene obligaciones legales. Su empresa debe estar preparada para justificar la recopilación y el uso de datos personales a través de un sistema de videovigilancia como responsable del tratamiento de datos.
Por lo tanto, su empresa debe verificar cómo utiliza los equipos de videovigilancia cuando se trata de cumplir con las disposiciones del RGPD. A veces, será necesario anonimizar el vídeo.
Si procesa vídeos e imágenes que contienen datos personales (caras, matrículas) y necesita anonimizarlos, puede hacerlo fácilmente utilizando nuestra plataforma.
Conclusión
El derecho al olvido es una noción jurídica desarrollada recientemente que tiene importantes consecuencias para la privacidad, la libertad de expresión y la normativa de Internet. Las empresas deben ser conscientes de que el derecho al olvido no otorga un "derecho al olvido" absoluto cuando reciben solicitudes en este sentido. En otras palabras, no tienen que eliminar los datos si tienen un uso válido o si tienen una razón importante para conservarlos en sus registros.
Más información sobre el derecho al olvido: https://www.techtarget.com/searchcontentmanagement/definition/The-right-to-be-forgotten
https://www.itpro.co.uk/general-data-protection-regulation-gdpr/what-is-the-right-to-be-forgotten
https://www.ocucon.com/blog/are-you-gdpr-ready