Preguntas frecuentes

¿Tienes dudas? Tenemos respuestas.

  1. ¿Qué es Dataguardian Manager™? #

    Somos un Sistema de Gestión de Información Personal, o "PIMS" por sus siglas en inglés, un intermediario entre personas y entidades (públicas o privadas), que facilita la gestión de las solicitudes de derechos previstas en el Reglamento UE 2016/679 (RGPD). El modelo de prestación de servicios "PIMS" ha sido validado por el Supervisor Europeo de Protección de Datos (EDPS) en su Opinión 9/2016:

    "La tecnología PIMS puede ayudar a las personas y a los consumidores a tener un mayor control sobre sus datos personales. El EDPS anima a la Comisión Europea a apoyar el desarrollo de herramientas digitales innovadoras como esta y tomar iniciativas políticas que inspiren el desarrollo de modelos de negocio económicamente viables para facilitar su uso. La implementación efectiva de la protección de datos requiere iniciativas tecnológicas, económicas y legales, que nos ayudarán a recuperar el control de nuestras identidades en línea".

  2. ¿Qué son las reclamaciones de derechos del RGPD? #

    La protección de los datos de carácter personal es un derecho fundamental recogido en la Carta de Derechos Fundamentales de la Unión Europea. Según la normativa aplicable, las personas físicas que se encuentren en el Espacio Económico Europeo (EEE) podrán ejercer ante entidades -públicas o privadas- los derechos de protección de datos previstos en los artículos 15 a 22 del RGPD: (i) acceso, (ii) rectificación, (iii) supresión, (iv) limitación del tratamiento, (v) portabilidad y (vi) oposición.

  3. ¿Los derechos del RGPD se pueden ejercer a través de representante? #

    Sí, de conformidad con la normativa aplicable: "Los derechos reconocidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, podrán ejercerse directamente o por medio de representante legal o voluntario".

  4. ¿Qué requisitos formales deben cumplir las solicitudes de derechos? #

    De conformidad con la normativa aplicable, cada solicitud debe contener:

    • Fotocopia del Documento Nacional de Identidad, pasaporte u otro documento válido que identifique al interesado;
    • En su caso, documento válido que identifique al represente o instrumentos electrónicos equivalentes; y
    • Documento o instrumento electrónico acreditativo de tal representación.
  5. ¿La solicitud incluye una copia del documento de identidad del representado? #

    Sí, de conformidad con la normativa aplicable, las solicitudes tramitadas por Dataguardian Manager™ incluyen una fotocopia del Documento Nacional de Identidad, pasaporte u otro documento equivalente que identifique al interesado.

  6. ¿La solicitud incluye un documento que identifique al representante? #

    Sí, de conformidad con la normativa aplicable, las solicitudes tramitadas por Dataguardian Manager™ están firmadas mediante certificado digital cualificado expedido por la Fabrica Nacional de la Moneda y Timbre - Real Casa de la Moneda (FNMT-RCM), un prestador de servicios electrónicos de confianza cualificado que, en cumplimiento de lo establecido en el Reglamento UE 910/2014 (eIDAS), identifica fehaciente la identidad y capacidad de representación de la persona física representante de Dataguardian Manager™, sin que sea preciso aportar cualquier otra documentación adicional.

    En este mismo sentido se ha pronunciado Agencia Española de Protección de Datos (TD/00520/2018): "La firma digital tiene unas herramientas de verificación, autentificación, verificación e integridad de ciertos datos que permitirían detectar falsificaciones y manipulaciones del contenido,siendo en este caso, expedida la Certificación digital por la FNMT-RCM que vincula a su suscriptor con unos datos de verificación de firma y confirma su identidad, dicha certificación es un documento que le permite identificarse en Internet e intercambiar información con las garantías de que solo pueden acceder el emisor y el receptor, por ello, se recuerda a EQUIFAX, que la certificación digital permite garantizar de forma segura la solicitud de acceso y dicha petición cumple con los requisito recogidos en el art. 25.1 a) del Reglamente de LOPD ya referenciado en el Fundamento de Derecho número SEXTO, dado que el hecho de denegar la solicitud mediante firma digital, supondría la negación de la Autoridad competente en la certificación de firma digital, por ello, EQUIFAX no debió solicitar la subsanación por no quedar debidamente acreditada la identidad de la parte reclamante, ya que se cumplía con los requisitos exigidos en la normativa de protección de datos".

    Para comprobar la validación de la firma digital contenida en la solicitud de derechos tramitada por Dataguardian Manager™, se recomienda utilizar la herramienta oficial publicada por la Comisión Europea en el marco del Reglamento eIDAS.

  7. ¿La solicitud incluye un documento que acredite la representación? #

    Sí, de conformidad con la normativa aplicable, las solicitudes tramitadas por Dataguardian Manager™ contienen un mandato de representación específico y concreto para ejercer el derecho solicitado ante la entidad requerida por el interesado.

    En este sentido, la Agencia Española de Protección de Datos ha venido reiterando que:

    • La representación puede realizarse mediante documento privado, no siendo necesario u obligatorio que dicho poder de representación sea otorgado ante notario:

      AEPD (Memoria Anual de 2001): “no se desprende una prohibición del ejercicio de los derechos de acceso, rectificación y cancelación por un representante voluntario o mandatario del propio afectado, por cuanto ese ejercicio se producirá siempre en nombre y por cuenta del propio afectado, considerándose el ejercicio del derecho por el mandatario como efectuado por el propio interesado que le confiere la representación (tal y como se desprende a sensu contrario de lo dispuesto en el artículo 1717 del Código Civil).”

      AEPD (TD/01110/2013): “Por otro lado, en cuanto a la controversia suscitada, la validez o no de un poder notarial general de representación para poder ejercitar el derecho de acceso a la historia clínica de un tercero, se ha de señalar que los datos relativos a la salud de las personas son datos especialmente protegidos, debiéndose adoptar mayores cautelas a la hora de tratarlos o permitir el acceso a los mismos a terceras personas, lo que implica que sea preciso la exigencia de un poder de representación especifico y concreto para acceder a dicha documentación (no siendo necesario u obligatorio que dicho poder de representación sea otorgado ante notario).”

    • Si junto con la firma del documento se remite por el interesado una copia escaneada de su documento identificativo cabrá presumir que existe una declaración de voluntad favorable al apoderamiento:

      AEPD (Informe Jurídico): “Y en este sentido, el citado precepto exige la aportación de los dos elementos necesarios para el ejercicio del derecho a través de representante, permitiendo la aportación del documento identificativo acreditar cuando menos de forma indiciaria la existencia de una conducta activa del afectado en el sentido de manifestar su voluntad referida al apoderamiento. De este modo, si junto con la firma del documento se remite por el interesado una copia escaneada de su documento identificativo cabrá presumir que existe una declaración de voluntad favorable al apoderamiento”

  8. ¿Cuál es el plazo para responder? #

    Tal y como exige la normativa aplicable, cada solicitud debe ser respondida: " […] en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. El responsable informará al interesado de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación".

  9. ¿Debo responder a un derecho aunque no existan datos del interesado en los ficheros de mi entidad? #

    Sí, tal y como han venido señalando la Agencia Española de Protección de Datos (TD/00336/2019 y TD/00035/2020), cada solicitud de derechos debe ser respondida en plazo, aún en el supuesto de que no existan datos del interesado en los ficheros de la entidad:

    "Las normas antes citadas no permiten que pueda obviarse la solicitud como si no se hubiera planteado, dejándola sin la respuesta que obligatoriamente deberán emitir los responsables, aún en el supuesto de que no existan datos del interesado en los ficheros de la entidad o incluso en aquellos supuestos en los que no reuniera los requisitos previstos, en cuyo caso el destinatario de esta viene igualmente obligado a requerir la subsanación de las deficiencias observadas o en su caso, denegar la solicitud motivadamente indicando las causas por las que no procede considerar la supresión de sus datos. Por tanto, la solicitud de supresión de los datos personales que se formule obliga al responsable que se trate a dar respuesta expresa, en todo caso, empleando para ello cualquier medio que justifique la recepción de la contestación".

  10. ¿Debo responder a un derecho aunque se haya enviado por un medio distinto al indicado por mi entidad? #

    Sí, el ejercicio del derecho no podrá ser denegado por el solo motivo de optar el afectado por un medio distinto al indicado por la entidad, tal y como establece la normativa aplicable: "El responsable del tratamiento estará obligado a informar al afectado sobre los medios a su disposición para ejercer los derechos que le corresponden. Los medios deberán ser fácilmente accesibles para el afectado. El ejercicio del derecho no podrá ser denegado por el solo motivo de optar el afectado por otro medio".

    En el mismo sentido se han pronunciado distintas autoridades de protección de datos:

    Agencia Española de Protección de Datos (TD/00258/2019): "Asimismo, aunque es adecuado que dicha solicitud se dirija a la dirección declarada por el responsable a efectos del ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679 o, a la oficina central, se considera que la recepción de la solicitud por cualquier departamento o sucursal del responsable es destino válido de la misma, conforme con el artículo 12 de LODPGDD, que dispone: "El responsable del tratamiento estará obligado a informar al afectado sobre los medios a su disposición para ejercer los derechos que le corresponden. Los medios deberán ser fácilmente accesibles para el afectado. El ejercicio del derecho no podrá ser denegado por elsolo motivo de optar el afectado por otro medio."

    Agencia Irlandesa de Protección de Datos (Data Subjects Requests – FAQs): "As with the question regarding the format an access request may take, where controllers have a particular contact point or member of staff designated for handling access requests, contacting them will normally be the most efficient way for an individual to have their request responded to promptly, but it should not be considered mandatory. […] It is possible that a valid access request may be made to any member of staff of a controller. As with standard forms, a controller may encourage data subjects to contact the designated contact point, but they cannot oblige them to do so. Therefore, where a requestis made to another member of staff, the clearest approach may be to forward the request to the correct contact point, whilst copying in the individual and explaining the process for handling the request.".

  11. ¿Pueden dirigirse las solicitudes de derechos al Delegado de Protección de Datos? #

    Sí, de conformidad con lo establecido en la normativa aplicable: "Los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento.".

  12. ¿Las solicitudes de derechos de Dataguardian Manager™ pueden considerarse "infundadas o excesivas"? #

    No, tal y como ha establecido el European Data Protection Board: "el artículo 12 del RGPD se centra en las solicitudes realizadas por un interesado y no en el número total de solicitudes recibidas por un responsable del tratamiento".

    Adicionalmente, en Dataguardian Manager™ hemos implementado las medidas previstas en la normativa aplicable a fin de impedir que: (i) cada interesado pueda ejercer el mismo derecho en más de una ocasión durante el plazo de 6 meses ante la misma entidad; y (ii) las solicitudes se presenten a través de un medio distinto al ofrecido por la entidad destinataria que suponga un coste desproporcionado.

Si tienes alguna sugerencia para mejorar el servicio de Dataguardian Manager, estaremos encantados de escucharte. Por favor, contacta con nosotros a través de nuestra página de contacto.