El Reglamento General de Protección de Datos (RGPD) entró en vigor el 25 de mayo de 2018 y revisó por completo la forma en que las empresas procesan y manejan los datos. Las organizaciones han tenido que adaptarse rápidamente para asegurarse de que cumplen con la nueva legislación y no son responsables de las grandes multas que han dominado los titulares en los últimos meses.
Lo que muchas organizaciones no habían previsto era la avalancha de personas que ejercen sus derechos en virtud de la nueva legislación presentando solicitudes de acceso. El RGPD ha reforzado los derechos existentes de las personas y les ha dado la posibilidad de averiguar cómo se utilizan sus datos personales.
Una solicitud de acceso del sujeto (SAR) es el derecho de acceso que permite a una persona solicitar qué información tiene una organización sobre ella, por qué la tiene y con quién la comparte. Desde la aplicación del RGPD, la OIC ha observado un "aumento sin precedentes de la demanda" de RAS. Esto, a su vez, ha supuesto una enorme presión sobre los servicios públicos y las organizaciones que están obligadas a responder en un plazo determinado.
Se cree que el drástico aumento de las denuncias se debe al incremento de las violaciones de datos y a la desconfianza generalizada de los ciudadanos en el uso que hacen las organizaciones de sus datos.
Una parte importante del cumplimiento del RGPD es entender cómo tratar eficazmente un RAS. Si no se cumple el plazo o no se proporciona a las personas toda la información que necesitan, su organización podría verse expuesta a una acción reguladora y a cuantiosas multas.
Cómo tramitar las solicitudes de acceso de los interesados
1. Reconocer la solicitud de acceso del sujeto
El RGPD no establece términos específicos sobre cómo un individuo puede hacer una solicitud válida de información, por lo que puede hacerse verbalmente, por escrito o incluso en las redes sociales. Ni siquiera es necesario que la solicitud incluya la frase "solicitud de acceso del sujeto", siempre que el individuo deje claro que está solicitando su información personal. Las organizaciones deben asegurarse de que el personal específico está formado para identificar una solicitud de acceso y de que existen los protocolos correctos para registrar las solicitudes.
2. Conozca sus obligaciones
Una persona sólo tiene derecho a sus propios datos personales, y no a la información relativa a otras personas. Por lo tanto, debe determinar si la información solicitada entra en la definición de datos personales.
La UE define los "datos personales" como cualquier información que pueda utilizarse para identificar directa o indirectamente a una persona (sujeto de los datos). Esto puede incluir todo, desde el nombre, la dirección de correo electrónico, la dirección IP y las imágenes. También incluye los datos personales sensibles, como los datos biométricos o los datos genéticos, que podrían tratarse para identificar a una persona.
A menos que el individuo haya especificado la información exacta que necesita, tendrá que buscar toda la información disponible que sea relevante para la persona. Además de una copia de sus datos personales, también hay que proporcionar a las personas la siguiente información:
- La finalidad de su tratamiento
- Los tipos de datos personales en cuestión
- Información sobre la fuente de los datos
- Con quién se han compartido los datos
- Durante cuánto tiempo se almacenarán los datos
- La existencia de su derecho a solicitar la rectificación, supresión o restricción o a oponerse a dicho tratamiento
- Su derecho a presentar una reclamación ante el ICO u otra autoridad de supervisión
- La existencia de una toma de decisiones automatizada, incluida la elaboración de perfiles
- Las garantías que ofrece si transfiere datos personales a un país fuera de la UE o a una organización internacional.
3. Verificar la identidad del individuo
Antes de responder a un RAS, deberá asegurarse de que la persona que solicita sus datos personales es quien dice ser. Para verificar su identidad, puede solicitar un documento de identidad con fotografía o una factura de servicios públicos. Si la persona que hace la solicitud es un empleado de su organización, no necesitará ninguna prueba de identificación adicional.
Un RAS también puede hacerse a través de un tercero, como un abogado o un familiar cercano. En estos casos, deberá confirmar que el tercero ha recibido instrucciones para actuar en nombre de la persona.
4. Responder en el plazo designado
Según el RGPD, las organizaciones deben responder "sin demora indebida" y en el plazo de un mes desde la recepción de la solicitud. Si hay que confirmar la identidad de la persona, el plazo de respuesta empieza a contar a partir del momento en que se proporciona la información requerida.
Si la solicitud es compleja o ha recibido varias solicitudes de la misma persona, el plazo de respuesta puede ampliarse otros dos meses. En este caso, debe notificar a la persona el motivo de la prórroga.
5. Exenciones a las solicitudes de acceso del sujeto
No debe revelar los datos personales de una persona si ello afecta negativamente a los derechos de otras personas. Las excepciones son que la otra persona haya dado su consentimiento para la divulgación, o que sea razonable atender la solicitud sin el consentimiento de la persona.
El GDPR y la Ley de Protección de Datos de 2018 también establecen algunas exenciones que se aplican en determinadas circunstancias. Por ejemplo, cuando la divulgación perjudique a funciones reguladoras definidas o en el caso de comunicaciones sujetas al secreto profesional.
6. Tasas y solicitudes excesivas
Bajo la antigua ley, las organizaciones podían cobrar hasta 10 libras por llevar a cabo un SAR, pero el GDPR ha eliminado esta barrera y la información debe ser proporcionada de forma gratuita. Sin embargo, la OIC ha declarado que si se recibe una solicitud de acceso del sujeto que es "manifiestamente infundada o excesiva", se puede cobrar una tarifa razonable para hacer frente a los costes administrativos.
7. Divulgar de forma segura la información
Si una persona hace una solicitud por vía electrónica, usted debe responder proporcionando la información en formato electrónico, a menos que la persona especifique lo contrario. La información debe divulgarse de la forma más segura posible.
8. Mantener un registro de la solicitud de acceso del sujeto
Deberá mantener una pista de auditoría clara del RAS en caso de que se presente una reclamación a la OIC en una fecha posterior. Debe incluir la información recopilada, el proceso de revisión, las decisiones clave tomadas, si se aplicaron exenciones, la respuesta proporcionada, así como la correspondencia mantenida con el individuo o con terceros.
MetaPrivacy ha sido diseñado para proporcionar el enfoque de mejores prácticas para el cumplimiento de la privacidad de los datos. Póngase en contacto con nosotros para obtener más información sobre cómo podemos ayudar a su organización a mejorar su estructura de cumplimiento.
DESCARGO DE RESPONSABILIDAD: El contenido y las opiniones de este blog tienen únicamente fines informativos. No pretenden constituir un asesoramiento legal o profesional de otro tipo y no deben ser invocados o tratados como un sustituto del asesoramiento específico correspondiente a las circunstancias particulares, la Ley de Protección de Datos, o cualquier otra legislación actual o futura. MetaCompliance no se responsabiliza de los errores, omisiones o declaraciones engañosas, ni de las pérdidas que puedan derivarse de la confianza en los materiales contenidos en este blog.
