Los interesados pueden invocar numerosos derechos relacionados con sus datos, que se describen con todo detalle en la sección correspondiente (véase la parte de Derechos de este acápite de las Directrices). En general, los desarrolladores deben hacer todo lo posible para diseñar el dispositivo o la herramienta de forma que se respeten los derechos de los usuarios y se les ayude a ejercerlos. Esto puede hacerse, por ejemplo, implementando una forma sencilla de acceder a los datos o desarrollando medidas técnicas para ayudar al derecho a la portabilidad. Sin embargo, es posible que los derechos se vean restringidos y que se impongan las obligaciones previstas en la Propuesta de Reglamento sobre la privacidad electrónica y/o en el RGPD, cuando constituyan una medida necesaria, adecuada y proporcionada dentro de una sociedad democrática para determinados objetivos.[1] En general, los dispositivos que utilizan datos geoespaciales deben permitir a sus usuarios acceder a sus datos en un formato legible y permitir su rectificación y supresión sin recoger datos personales en exceso.
|
Algunos consejos concretos para facilitar la aplicación de los derechos |
||
|
Derecho |
Problema |
Consejo |
| Derecho de Acceso | Los datos suelen almacenarse de forma muy diversa, lo que dificulta su acceso, sobre todo para un interesado inexperto. | Proporcionar una funcionalidad para mostrar todos los datos relacionados con un interesado. Si hay muchos datos, pueden dividirse en varias pantallas. Si los datos son demasiado grandes, ofrecer a la persona la posibilidad de descargar un archivo que contenga todos sus datos.
Por lo que respecta a los datos de localización o proximidad, los responsables pueden permitir a los interesados acceder a la información en formatos utilizables, como por ejemplo en visualizaciones de mapas, en caso de que ya utilicen dichos formatos |
| Derecho de rectificación | En algunas ocasiones, los datos recogidos por el dispositivo no serán exactos. Los interesados deben poder rectificar esos datos. | Permitir la modificación directa de los datos en la cuenta del usuario (si es aplicable y/o posible). Explicar por qué podría no ser aconsejable en algunas circunstancias. |
| Derecho de supresión | Los interesados tienen derecho a que se eliminen sus datos personales. Sin embargo, este derecho puede estar limitado en determinadas circunstancias específicas. Además, los usuarios deben ser conscientes de las implicaciones técnicas de una supresión general de los datos. Así, los responsables del tratamiento deben permitir a los interesados borrar sólo aquellos datos a los que se aplica el derecho e introducir cierta información antes de permitirles proceder. | Proporcionar una funcionalidad para borrar todos los datos relativos a una persona a la que se aplica el derecho de supresión (y sólo a esos datos). Prever la notificación automática a los procesadores de datos para que también borren dichos datos. Prever la supresión de dichos datos en las copias de seguridad, o proporcionar una solución alternativa que no restablezca los datos suprimidos relativos a esa persona. Introducir una funcionalidad que avise siempre al usuario de las consecuencias de la supresión. |
| Derecho a la limitación del tratamiento | A menudo, a los interesados no les interesa que se traten datos de un tipo determinado. La herramienta debe adaptarse a sus preferencias si se aplican las condiciones del artículo 18 del RGPD. | Proporcionar una funcionalidad que permita al interesado oponerse al tratamiento de datos personales específicos. Cuando el interesado ejerza su derecho de oposición de este modo, la herramienta deberá eliminar los datos ya recogidos y no deberá recoger posteriormente más datos de este tipo. |
| Derecho a la portabilidad de los datos | Los usuarios deben poder recibir los datos personales que han proporcionado al responsable del tratamiento desde el dispositivo sin necesidad de conocimientos técnicos avanzados. También tienen derecho a que sus datos sean transferidos a otro responsable (es decir, proveedor de otro servicio). Nota: esto no incluye los datos recogidos a través de otros medios como fuentes externas o mediante procesos analíticos o de inferencia. | Proporcionar una función que permita al interesado descargar sus datos en un formato estándar legible por la máquina (CSV, XML, JSON, etc.). |
Es necesario mencionar que el Reglamento sobre la privacidad electrónica incluye derechos adicionales como la confidencialidad de las comunicaciones, la identificación de la línea de llamada o derechos específicamente dirigidos a los datos de localización distintos de los datos de tráfico (véase el capítulo III de la Propuesta). Los responsables del tratamiento deben asegurarse de que la herramienta no permita una violación de tales derechos, introduciendo medidas dedicadas a limitar el uso de los datos geoespaciales si no es esencial para el servicio. Por ejemplo, “independientemente de que el usuario final haya impedido el acceso a las capacidades de los Sistemas Globales de Navegación por Satélite (GNSS) del equipo terminal o a otros tipos de datos de localización basados en el equipo terminal a través de los ajustes del equipo terminal, cuando se realice una llamada a los servicios de emergencia, dichos ajustes no podrán impedir el acceso a los GNSS de dichos datos de localización para determinar y proporcionar la localización del usuario final que llama a los servicios de emergencia una organización que se ocupe de las comunicaciones de emergencia, incluidos los puntos de respuesta de seguridad pública, con el fin de responder a dicha llamada” (Reglamento sobre privacidad electrónica, artículo 13.3).[2]
| Lista de control[3]: Derechos de los usuarios
Los usuarios pueden ejercer sus derechos a través de la aplicación. Si la herramienta ha sido diseñada para trabajar con datos de proximidad, no puede utilizarse para sacar conclusiones sobre la ubicación de los usuarios en función de su interacción y/o cualquier otro medio. Si la herramienta ha sido diseñada para trabajar con datos de localización, no puede utilizarse para sacar conclusiones sobre la interacción de los usuarios con otras personas. Si los datos se utilizan con fines compatibles, el responsable ha realizado previamente el test compatibilidad. Si el responsable desea utilizar los datos para una finalidad distinta a la inicialmente buscada, la herramienta está diseñada para pedir permiso a los usuarios. |
- Véase el artículo 15 de la Directiva sobre privacidad electrónica y el artículo 23 del RGPD. ↑
- https://data.consilium.europa.eu/doc/document/ST-6087-2021-INIT/en/pdf ↑
- Esta lista ha sido elaborada sobre la base del documento CEPD (2020) Directrices 04/2020 sobre el uso de datos de localización y herramientas de rastreo de contactos en el contexto de la pandemia de COVID-19 Adoptadas el 21 de abril de 2020, disponible en: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_20200420_contact_tracing_covid_with_annex_es.pdf ↑