El Reglamento General de Protección de Datos (RGPD) entró en vigor el 25 de mayo de 2018 y revisó por completo la forma en que las empresas procesan y manejan los datos. Las organizaciones han tenido que adaptarse rápidamente para asegurarse de que cumplen con la nueva legislación y no son responsables de las grandes multas que han dominado los titulares en los últimos meses.

Lo que muchas organizaciones no habían previsto era la avalancha de particulares que ejercen sus derechos en virtud de la nueva legislación mediante la presentación de solicitudes de acceso. El RGPD ha reforzado los derechos existentes de los particulares y les ha facultado para averiguar cómo se utilizan sus datos personales.  

Una Solicitud de Acceso del Sujeto (SAR) es el Derecho de Acceso que permite a un individuo solicitar qué información tiene una organización sobre él, por qué la tiene y con quién la comparte. Desde la aplicación del GDPR, la La ICO ha observado un «aumento sin precedentes de la demanda» de ROS. Esto, a su vez, ha supuesto una enorme presión para los servicios públicos y las organizaciones que están obligadas a responder en un plazo determinado.

Se cree que el drástico aumento de los ROS ha sido impulsado por un incremento de las violaciones de datos y una desconfianza general del público en la forma en que las organizaciones utilizan sus datos.

Una parte importante del cumplimiento del RGPD es comprender cómo tratar eficazmente un RAS. No cumplir el plazo o no proporcionar a las personas toda la información que necesitan podría exponer a su organización a una acción reguladora y a cuantiosas multas.

Cómo tramitar las solicitudes de acceso del sujeto

1. Reconocer la solicitud de acceso del sujeto

El GDPR no establece términos específicos sobre cómo un individuo puede hacer una solicitud válida de información, por lo que puede hacerse verbalmente, por escrito o incluso en las redes sociales. Ni siquiera es necesario que la solicitud incluya la frase «solicitud de acceso del sujeto», siempre que el individuo deje claro que está solicitando su información personal. Las organizaciones deben asegurarse de que el personal específico está formado para identificar una SAR y de que existen los protocolos correctos para registrar las solicitudes.

2. Conozca sus obligaciones

Una persona sólo tiene derecho a sus propios datos personales, y no a la información relativa a otras personas. Por lo tanto, debe establecer si la información solicitada entra dentro de la definición de datos personales.

La UE define los «datos personales» como cualquier información que pueda utilizarse para identificar directa o indirectamente a una persona (sujeto de los datos). Esto puede incluir desde un nombre, una dirección de correo electrónico, una dirección IP hasta imágenes. También incluye los datos personales sensibles, como los datos biométricos o los datos genéticos, que podrían procesarse para identificar a un individuo.

A menos que el individuo haya especificado la información exacta que necesita, tendrá que buscar toda la información disponible que sea relevante para la persona. Además de una copia de sus datos personales, también tendrá que proporcionar a los individuos la siguiente información:

  • La finalidad de su tratamiento
  • Los tipos de datos personales afectados
  • Información sobre la fuente de los datos
  • Con quién se han compartido los datos
  • Durante cuánto tiempo se almacenarán los datos
  • La existencia de su derecho a solicitar la rectificación, supresión o restricción o a oponerse a dicho tratamiento
  • Su derecho a presentar una reclamación ante el ICO u otra autoridad supervisora
  • La existencia de una toma de decisiones automatizada, incluida la elaboración de perfiles
  • Las garantías que ofrece si transfiere datos personales a un país fuera de la UE o a una organización internacional.

3. Verificar la identidad del individuo

Antes de responder a un SAR, deberá asegurarse de que la persona que solicita sus datos personales es quien dice ser. Para verificar su identidad, puede solicitar un documento de identidad con fotografía o una factura de servicios públicos. Si la persona que realiza la solicitud es un empleado de su organización, no necesitará ninguna prueba de identificación adicional.

Un RAS también puede realizarse a través de un tercero, como un abogado o un familiar cercano. En estos casos, necesitará confirmación de que el tercero ha recibido instrucciones para actuar en nombre de la persona.

4. Responder dentro del plazo designado

Según el RGPD, las organizaciones deben responder «sin demoras indebidas» y en el plazo de un mes a partir de la recepción de la solicitud. Si es necesario confirmar la identidad del individuo, el plazo de respuesta empieza a contar a partir del momento en que facilitan la información requerida.

Si la solicitud es compleja o ha recibido varias solicitudes del mismo individuo, el plazo para responder puede prorrogarse otros dos meses. En este caso, deberá notificar al individuo por qué es necesaria la prórroga.

5. Exenciones a las solicitudes de acceso del sujeto

No debe revelar los datos personales de un individuo si ello pudiera afectar negativamente a los derechos de otros individuos. Las excepciones a esto son cuando el otro individuo ha dado su consentimiento a la divulgación, o si es razonable cumplir con la solicitud sin el consentimiento del individuo.

El GDPR y la Ley de Protección de Datos de 2018 también establecen algunas exenciones que se aplican en determinadas circunstancias. Por ejemplo, cuando la divulgación perjudicaría a funciones reguladoras definidas o para comunicaciones sujetas al secreto profesional legal.

6. Tasas y solicitudes excesivas

Con la antigua ley, las organizaciones podían cobrar hasta 10 libras por llevar a cabo una SAR, pero el GDPR ha eliminado esta barrera y ahora la información debe proporcionarse de forma gratuita. Sin embargo, la OIC ha declarado que Si recibe una solicitud de acceso del sujeto que es «manifiestamente infundada o excesiva», puede cobrar una tarifa razonable para hacer frente a los gastos administrativos.

7. Divulgar la información de forma segura

Si un individuo hace una solicitud por vía electrónica, usted debe responder proporcionando la información en formato electrónico, a menos que el individuo especifique lo contrario. La información debe divulgarse de la forma más segura posible.

8. Mantener un registro de la solicitud de acceso del sujeto

Deberá conservar una pista de auditoría clara del RAS en caso de que se presente una queja a la OIC en una fecha posterior. Esto debería incluir la información que se recopiló, el proceso de revisión, las decisiones clave tomadas, si se aplicaron exenciones, la respuesta proporcionada, así como la correspondencia mantenida con el individuo o terceros.

MetaPrivacy ha sido diseñado para proporcionar el enfoque de mejores prácticas para el cumplimiento de la privacidad de los datos. Póngase en contacto con nosotros para obtener más información sobre cómo podemos ayudar a su organización a mejorar su estructura de cumplimiento.

DESCARGO DE RESPONSABILIDAD: El contenido y las opiniones de este blog tienen únicamente fines informativos. No pretenden constituir un asesoramiento legal o profesional de otro tipo y no deben ser invocados o tratados como sustitutos de un asesoramiento específico relevante para circunstancias particulares, la Ley de Protección de Datos o cualquier otra legislación actual o futura. MetaCompliance no aceptará ninguna responsabilidad por errores, omisiones o declaraciones engañosas, o por cualquier pérdida que pueda derivarse de la confianza en los materiales contenidos en este blog.