Esta es una pregunta que en alguna ocasión nos han hecho los malditos y las malditas: mucho hablar de datos personales y de cómo los extraen a partir de aplicaciones o redes sociales pero, ¿cómo sé qué datos tienen exactamente las empresas sobre mi?
Lo primero es que no hay una respuesta directa a esa pregunta, ya que no es del todo posible saber cuántas empresas en todo el mundo tienen datos sobre nosotros o cuáles son esos datos exactamente. Nos explicamos: cuando haces uso de una aplicación o un servicio en Internet, normalmente aceptas que la entidad que te presta ese servicio pueda compartir ciertos datos con socios, con otras compañías que intervienen a la hora de dártelo, con empresas intermediarias como los data brokers, etc.
Sí que tenemos derecho a saber qué información sobre mí tiene esa empresa concreta a la que yo le he pedido el servicio, por ejemplo, el banco Santander a la hora de abrirme una cuenta o Facebook cuando uso la red social. Tenemos derecho incluso a saber con qué información cuentan sobre nosotros los partidos políticos, que también manejan nuestros datos personales. ¿Cómo? A través del llamado "derecho de acceso".
Un derecho fundamental todavía muy desconocido: ¿cómo funciona?
Para explicaros todo sobre el derecho de acceso nos ayudan desde MyDataMood, una plataforma dedicada expresamente a facilitar la solcitud de este y otros derechos relacionados con la protección de datos: oponerse a que usen nuestros datos, pedir que los rectifiquen si son erróneos, etc.
Sabina Guaylupo, jefa de Producto en MyDataMood, nos explica que el derecho de acceso es uno de los derechos fundamentales reconocido en el art.8.2 de la Carta de los Derechos Fundamentales de la Unión Europea: “Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación”. Guaylupo afirma que este es un derecho independiente, es decir, que no tienes que solicitar el de acceso antes para pedir cualquiera de los otros que tienen que ver con tus datos.
También lo contempla el Reglamento General de Protección de Datos europeo (art. 15) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (art. 13), pero su uso apenas es conocido para la sociedad.
Organismos públicos o empresas que manejan datos sensibles o de forma masiva, entre otros, deben contar sí o sí con un Delegado de Protección de Datos (DPO), que es la figura encargada de asegurarse que se vela por la protección de los datos personales y que gestiona las peticiones de los usuarios, y es a ella a quien hay que dirigirse.
Normalmente, los datos de contacto del DPO vienen recogidos en las políticas de privacidad de dichas compañías, pero si no cuentan con uno debe haber una dirección de correo genérica a la que acudir. Para ello, debes acudir al apartado del documento que ponga "Responsable del tratamiento":
¿Qué podemos pedirle a la empresa que nos de?
Según el RGPD, podemos pedirle unas cuantas cosas a una empresa: para qué usan los datos, durante cuánto tiempo lo hacen, qué destinatarios los reciben, si los trata un programa automatizado o si elaboran perfiles con ellos (y las consecuencias que eso puede tener).
"A lo primero a lo que el usuario tiene derecho es a saber si se están tratando o no datos personales que le conciernen. En caso afirmativo, tiene derecho a recibir una copia de los mismos. Esto significa que no es suficiente con que nos digan que tienen los datos necesarios para llevar a cabo el servicio o realizar un contrato, si no que nos tienen que dar copia", asegura Guaylupo.
Sí, una empresa de comida a domicilio nos tendrá que mandar el listado de todos nuestros pedidos, no solo decirnos que los tienen apuntados por ahí.
¿Qué más cosas se pueden saber gracias al derecho de acceso? Guaylupo nos da algunas indicaciones más: qué categorias de datos se tratan, si son identificativos, si son de salud, etc. ("quizás algunos se los hemos proporcionado nosotros, pero otros no y no podemos ni imaginar que los tienen", avisa). También se puede preguntar por el origen si sé que no los he dado yo directamente o si se transfieren a un tercer país u organización internacional y en qué condiciones.
Para terminar, una de las cosas más importantes que podemos pedir: si someten a nuestros datos a la elaboración de perfiles y a decisiones automatizadas: "Si están aplicando algoritmos o se están elaborando perfiles basados en los datos de las personas hay que explicar cómo funciona ese algoritmo, la lógica que usa, y cuales son las reglas que se aplican", explica Guaylupo.
Por eso es tan importante hacer uso del derecho de acceso: debería ser una herramienta para entender por qué nuestra operadora nos ofrece una oferta u otra o por qué un banco me concede niega un préstamo.
Haz uso de tu derecho de acceso
Una vez tenemos localizada la dirección de correo a la que tenemos que enviar nuestra solicitud, debemos saber qué mandar específicamente. Siempre te van a pedir unos datos concretos como nombre y una imagen de tu DNI u otro documento identificativo, así que para ahorrar pasos puedes adjuntarlo en el primer correo que mandes.
Aquí te dejamos un modelo de correo electrónico que puedes mandar al DPO de una empresa para solicitar tu derecho de acceso. Recuerda luego seguir pendiente de ese hilo de correos, porque con mandarlo solamente no basta, es más que seguro que el proceso requiera algún paso adicional que te pedirá cada empresa u organización (por ejemplo, confirmar que quieres solicitar la copia):
D./Dña. ________________, mayor de edad, con domicilio en la calle _______________________, Código Postal ________, con DNI ___________________, del que acompaña fotocopia, y correo electrónico _______ (el que tengas asociado a dicho servicio)_______ por medio del presente escrito solicita ejercer su derecho de acceso, de conformidad con el artículo 15 del Reglamento 2016/679 del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
SOLICITA:
1) Que se le facilite el derecho de acceso al tratamiento de sus datos personales en el plazo máximo de un mes a contar desde la recepción de esta solicitud.
2) Que si la solicitud del derecho de acceso fuese estimada, se me facilite una copia de los datos personales objeto de tratamiento.
3) Que esta información comprenda de modo legible e inteligible los datos que sobre mi persona están incluidos en sus tratamientos, así como la siguiente información: los fines de dichos tratamientos; los destinatarios o las categorías de destinatarios a los que se comunicaron; el plazo previsto de conservación; la existencia de decisiones automatizadas y transferencias internacionales de datos.
Atentamente,
En caso de que prefiráis realizar este trámite con alguna orientación o que directamente prefieres que lo haga alguien por ti, para no estar pendiente del hilo de correos que pueden surgir con la empresa u organización en cuestión, también puedes acudir a MyDataMood.
Primera fecha de publicación de este artículo: 24/08/2020.