Derecho a la limitación del tratamiento en la LO 3/2018 (LOPDGDD) y en el Reglamento General de Protección de Datos (RGPD)

Una primera aproximación al concepto de limitación del tratamiento de datos la encontramos en el apartado tercero del artículo 4 del RGPD que lo define como: «el marcado de los datos de carácter personal conservados con el fin de limitar su tratamiento en el futuro».

Artículo 18 del RGPD

«1. El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando se cumpla alguna de las condiciones siguientes:

a) el interesado impugne la exactitud de los datos personales en un plazo que permita al responsable verificar la exactitud de los mismos;

b) el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso;

c) el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones;

d) el interesado se haya opuesto al tratamiento en virtud del artículo 21, apartado 1, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.

2. Cuando el tratamiento de datos personales se haya limitado en virtud del apartado 1, dichos datos solo podrán ser objeto de tratamiento, con excepción de su conservación, con el consentimiento del interesado o para la formulación, el ejercicio o la defensa de reclamaciones, o con miras a la protección de los derechos de otra persona física o jurídica o por razones de interés público importante de la Unión o de un determinado Estado miembro.

3. Todo interesado que haya obtenido la limitación del tratamiento con arreglo al apartado 1 será informado por el responsable antes del levantamiento de dicha limitación».

Además son varios los considerandos del mismo texto legal que se refieren a la limitación del tratamiento de los datos personales, entre otros, los siguientes:

a) Considerando 67 del RGPD:

«Entre los métodos para limitar el tratamiento de datos personales cabría incluir los consistentes en trasladar temporalmente los datos seleccionados a otro sistema de tratamiento, en impedir el acceso de usuarios a los datos personales seleccionados o en retirar temporalmente los datos publicados de un sitio internet. En los ficheros automatizados la limitación del tratamiento debe realizarse, en principio, por medios técnicos, de forma que los datos personales no sean objeto de operaciones de tratamiento ulterior ni puedan modificarse. El hecho de que el tratamiento de los datos personales esté limitado debe indicarse claramente en el sistema».

b) Considerando 129 del RGPD:

«Para garantizar la supervisión y ejecución coherentes del presente Reglamento en toda la Unión, las autoridades de control deben tener en todos los Estados miembros las mismas funciones y poderes efectivos, incluidos poderes de investigación, poderes correctivos y sancionadores, y poderes de autorización y consultivos, especialmente en casos de reclamaciones de personas físicas, y sin perjuicio de las competencias de las autoridades encargadas de la persecución de los delitos con arreglo al Derecho de los Estados miembros para poner en conocimiento de las autoridades judiciales las infracciones del presente Reglamento y ejercitar acciones judiciales. Dichos poderes deben incluir también el poder de imponer una limitación temporal o definitiva al tratamiento, incluida su prohibición».

c) Considerando 156 del RGPD:

«(...) Los Estados miembros deben establecer garantías adecuadas para el tratamiento de datos personales con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos. Debe autorizarse que los Estados miembros establezcan, bajo condiciones específicas y a reserva de garantías adecuadas para los interesados, especificaciones y excepciones con respecto a los requisitos de información y los derechos de rectificación, de supresión, al olvido, de limitación del tratamiento, a la portabilidad de los datos y de oposición, cuando se traten datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos. Las condiciones y garantías en cuestión pueden conllevar procedimientos específicos para que los interesados ejerzan dichos derechos si resulta adecuado a la luz de los fines perseguidos por el tratamiento específico, junto con las medidas técnicas y organizativas destinadas a minimizar el tratamiento de datos personales atendiendo a los principios de proporcionalidad y necesidad. El tratamiento de datos personales con fines científicos también debe observar otras normas pertinentes, como las relativas a los ensayos clínicos».

A tenor de lo anterior, la Agencia Española de Protección de Datos (AEPD) aclara en relación al derecho a la limitación del tratamiento de datos, que:

«Este nuevo derecho consiste en que obtengas la limitación del tratamiento de tus datos que realiza el responsable, si bien su ejercicio presenta dos vertientes:

Puedes solicitar la suspensión del tratamiento de tus datos:

• Cuando impugnes la exactitud de tus datos personales, durante un plazo que permita al responsable su verificación.

• Cuando te hayas opuesto al tratamiento de tus datos personales que el responsable realiza en base al interés legítimo o misión de interés público, mientras aquel verifica si estos motivos prevalecen sobre los tuyos.

Solicitar al responsable la conservación tus datos:

• Cuando el tratamiento sea ilícito y te has opuesto a la supresión de tus datos y en su lugar solicitas la limitación de su uso.

• Cuando el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones».

CUESTIÓN

¿Qué preceptos del RGPD se refieren a los límites en el tratamiento de los datos?

Los preceptos que regulan los límites en el tratamiento de los datos son los siguientes:

- Principios relativos al tratamiento (artículo 5 del RGPD).

- Licitud del tratamiento (artículo 6 del RGPD).

- Tratamiento de categorías especiales de datos personales (artículo 9 del RGPD).

- Información que deberá facilitarse cuando los datos personales se obtengan del interesado (artículo 13 del RGPD).

- Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado (artículo 14 del RGPD).

- Derecho de acceso del interesado (artículo 15 del RGPD).

- Derecho a la limitación del tratamiento (artículo 18 del RGPD).

- Obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento (artículo 19 del RGPD).

- Limitaciones (artículo 23 del RGPD).

- Normas corporativas vinculantes (artículo 47 del RGPD).

- Poderes (artículo 58 del RGPD).

- Condiciones generales para la imposición de multas administrativas (artículo 83 del RGPD).

A TENER EN CUENTA. La obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento del artículo 19 del RGPD.

Artículo 16 del RGPD

«1. El derecho a la limitación del tratamiento se ejercerá de acuerdo con lo establecido en el artículo 18 del Reglamento (UE) 2016/679.

2. El hecho de que el tratamiento de los datos personales esté limitado debe constar claramente en los sistemas de información del responsable».

Pues bien, este artículo nos remite directamente a lo establecido en el artículo 18 del RGPD e indica que la limitación en el tratamiento de los datos personales debe reflejarse expresamente en los sistemas de información del responsable del mismo.

CUESTIÓN

¿El derecho a la limitación del tratamiento de datos personales se encuentra en otros preceptos de la LOPDGDD?

Sí, podemos situar el derecho a la limitación en los siguientes artículos de la LOPDGDD:

- Sistema de información crediticia (artículo 20 de la LOPDGDD).

- Infracciones consideradas graves [artículo 73 c) de la LOPDGDD].

- Infracciones consideradas leves [artículo 74 d) y e) de la LOPDGDD].

- Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral (artículo 90 de la LOPDGDD).