En el ámbito de los derechos en materia de protección de datos, el nuevo Reglamento mantiene los clásicos derechos A.R.C.O (acceso, rectificación, cancelación y oposición) y, además, regula nuevos derechos. No solamente veremos modificado el catálogo de derechos, sino también el procedimiento para ejercitar los mismos.
En lo referente al procedimiento, el Reglamento parte de la base de garantizar un procedimiento visible, accesible y sencillo, lo que se deriva en la obligación que tienen los responsables de facilitar dicho proceso a los interesados. En este sentido, con el RGPD, se requiere que las solicitudes se puedan presentar por medios electrónicos, sobretodo cuando el tratamiento se realiza por estos medios.
Si bien este procedimiento debe ser gratuito, el propio Reglamento establece una excepción en el caso de recepción de solicitudes manifiestamente infundadas o excesivas ya que, acepte o deniegue el responsable su tramitación, podrá cobrar un canon para cubrir exclusivamente el coste administrativo generado (nunca podrá suponer un beneficio para el responsable) pero en estos casos será el responsable el que deberá probar el carácter infundado o excesivo de la solicitud.
El RGPD recalca la importancia de mantener informados a los interesados tanto si se atiende como si no a su solicitud. En el primer caso, el Reglamento exige al responsable informar al interesado sobre las actuaciones derivadas de su petición en el plazo de un mes (prorrogables por otros dos cuando se traten de solicitudes especialmente complejas). Y, en el segundo caso, si el responsable decide no atender una solicitud, deberá informar motivadamente sobre este hecho también en el plazo de un mes desde la presentación de la misma.
Respecto al derecho de acceso hasta ahora no se facilitaban copias o documentos, salvo en el caso de la historia clínica, y se debían proporcionar todos los datos de base del interesado. A partir de la aplicación del RGPD el derecho de acceso implicará la posibilidad de obtener una copia de los datos personales sujetos a tratamiento. Y, además, se permitirá a los responsables atender a la solicitud de este derecho permitiendo el acceso remoto al sistema para que de esta manera pueda el interesado acceder directamente a sus datos personales.
La ampliación del catálogo de derechos se materializa en la regulación del derecho al olvido, del derecho a la portabilidad de los datos y de la limitación de tratamiento. En primer lugar, el derecho al olvido no es ajeno a los tradicionales derechos ARCO, sino que cabe interpretarlo como una manifestación de los derechos de cancelación u oposición en el ámbito online y, en este sentido, se ha pronunciado el TJUE en el caso Google Spain. En segundo lugar, el derecho a la portabilidad de los datos se ha de entender como un paso más en el derecho de acceso. La portabilidad se basa en la transmisión de los datos de carácter personal de un responsable a otro, sin que sea necesario que el interesado los traslade, ya que no interviene en la ejecución de esa transmisión siempre que esa transmisión de datos sea técnicamente posible. Por último, la petición de limitación de tratamiento por parte del interesado no debe confundirse con el bloqueo de los datos que prevé la normativa española, sino en la imposibilidad de aplicar a sus datos de carácter personal las operaciones de tratamiento que corresponderían.