El GDPR y tus derechos como consumidor en la UE, en lenguaje claro

El Reglamento General de Protección de Datos es una de las leyes más citadas y más malinterpretadas de la última década. La mayoría de los análisis caen en uno de dos extremos: el alarmismo («todos los comercios te ocultan algo») o el cinismo condescendiente («son básicamente banners de cookies»). Ambos están equivocados. El GDPR es un conjunto claro de derechos que puedes ejercer sin pagar a nadie, y que cualquier minorista online medianamente serio está obligado a respetar sin que tengas que pelearte para conseguirlo.

Los derechos que tienes, por orden de frecuencia de uso

• Acceso. Puedes pedirle a cualquier responsable del tratamiento una copia de los datos personales que tienen sobre ti. Disponen de 30 días para entregártelos (60 en casos complejos, con aviso a los 30 días).
• Rectificación. Si mantienen datos inexactos sobre ti, puedes exigir su corrección.
• Supresión («derecho al olvido»). Puedes pedir la eliminación de tus datos. Existen excepciones —la más importante para los minoristas son los registros de identidad exigidos por la normativa AML, que se conservan durante el periodo legalmente obligatorio—, pero esas excepciones son estrechas y el responsable debe justificártelas, no simplemente imponértelas.
• Limitación. Puedes pedir al responsable que suspenda el tratamiento mientras se resuelve una disputa sobre la exactitud o la licitud de los datos.
• Portabilidad. Los datos que les has proporcionado deben poder exportarse en un formato legible por máquina.
• Oposición. Puedes oponerte al tratamiento basado en intereses legítimos, incluida la elaboración de perfiles.

Cómo ejercerlos, sin abogado

Basta con una solicitud por escrito al responsable del tratamiento. La política de privacidad de cualquier sitio bien gestionado indica la dirección; en nuestro caso, [email protected]. Sé específico sobre lo que quieres (¿una copia de todos tus datos?, ¿la eliminación de un pedido concreto?, ¿la corrección de una dirección?), e incluye información suficiente para que el responsable pueda verificar que eres tú.

No tienes que dar ninguna razón para una solicitud de acceso o de supresión. Sí tienes que verificar tu identidad, lo cual es una protección para ti, no un obstáculo burocrático.

Si no estás satisfecho con la respuesta, la autoridad supervisora de tu país (o la ICO del Reino Unido si el responsable tiene sede allí) tramita reclamaciones de forma gratuita. Sin tasa judicial, sin abogado.

Dónde el GDPR no ayuda

El GDPR regula los datos personales. No es una política de devoluciones (eso corresponde a la Directiva de Derechos de los Consumidores de la UE, aplicada por separado; véase la Política de Reembolsos y Devoluciones), ni un mecanismo de reembolso para asuntos que no tienen nada que ver con los datos.

El GDPR tampoco impide que un minorista conserve datos que otras leyes le obligan a guardar. La normativa contra el blanqueo de capitales exige a los minoristas y a otras empresas reguladas conservar los registros de verificación de identidad durante un número mínimo de años tras el fin de la relación con el cliente. Una solicitud de supresión no puede sortear una obligación legal paralela; el responsable debe informarte de ello con referencia a la ley aplicable.