ARTÍCULO 5, APARTADO 1, LETRA D), DEL RGPD
El Principio de Precisión
El principio de exactitud del RGPD es uno de los siete principios de protección de datos. En resumen, el principio de exactitud significa que las empresas deben procesar datos personales que sean precisos, actualizados y correctos. El artículo 5, apartado 1, letra d), del RGPD regula este principio.
El Principio de Precisión de Datos según RGPD
El artículo 5, apartado 1, letra d), del RGPD establece el principio de minimización de datos. Cuanto más importantes sean los datos personales, más debe hacer la empresa para garantizar que los datos sean correctos. Esto significa que la empresa no solo debe confiar en que el interesado haya proporcionado la información correcta. Las empresas también tienen la responsabilidad de garantizar esto a través de medios varius.
Tenga en cuenta que la empresa también debe cumplir los demás principios básicos de protección de datos, como el principio de limitación de la finalidad de la protección de datos.
¿Qué significa el Principio de Precisión?
En resumen, el principio de exactitud bajo el RGPD significa lo siguiente:
- Correcto:Una empresa que procesa datos personales debe asegurarse de que son correctos. Si los datos personales son incorrectos, la empresa debe corregirlos o eliminarlos.
- Actualizado: Una empresa debe mantener los datos personales actualizados para garantizar que sean correctos.
- Establecimiento de procedimientos: Una empresa debe contar con procedimientos internos para manejar cualquier dato personal inexacto.
Particularmente importante en algunos casos
En algunos casos, la exactitud de los datos personales es particularmente importante. Por ejemplo, cuando una empresa toma una decisión que es esencial para el interesado.
Un ejemplo práctico es si un hospital procesa datos personales incorrectos. La consecuencia puede ser devastadora y llevar a acciones que no son correctas. En el peor de los casos, podría ser peligroso para el interesado.
Cuanto más sensibles sean los datos personales, más importante será garantizar que los datos personales sean correctos.
Los interesados tienen derecho a ponerse en contacto con las empresas cuando sus datos personales sean incorrectos.
Los interesados pueden ponerse en contacto con una empresa si sus datos personales son incorrectos. Por ejemplo, los datos personales pueden estar mal escritos o ya no ser relevantes debido a cambios. O que ciertos datos personales deben completarse. En tales casos, la empresa debe corregir los datos personales o eliminarlos. Además, de acuerdo con la regla principal, la empresa debe informar a los interesados cuando se haya llevado a cabo dicha actividad.
Para cumplir con este derecho, la empresa debe implementar procedimientos internos que los empleados deben seguir. Tenga en cuenta que una empresa debe realizar cualquier corrección sin demora indebida. Normalmente, en el plazo de un mes a partir de la fecha de presentación de la solicitud por parte del interesado. Sin embargo, la empresa tiene derecho a ampliar el plazo en determinados casos específicos. Por ejemplo, si hay muchos interesados que han solicitado la rectificación durante el mismo período. O si es complicado llevar a cabo la acción. En tales casos, el período puede ampliarse a otros dos meses como máximo. Las empresas que deseen ampliar el plazo deben poder justificar la decisión.
Proteger intereses vitales es una base legal bajo el RGPD que se usa principalmente en emergencias
Tasas por el cumplimiento de este derecho de rectificación de datos personales
En virtud de la norma general, una empresa no tiene derecho a cobrar por el cumplimiento de los derechos de los interesados. Incluido el derecho a que se rectifiquen sus datos personales. Sin embargo, hay excepciones. Si la solicitud de rectificación es irrazonable, injustificada o repetida varias veces por la misma persona, la empresa puede tener derecho a cobrar una tarifa. Pero la tarifa debe ser razonable. Tenga en cuenta que la empresa debe poder justificar su decisión.
Implementar procedimientos internos
Para cumplir con este derecho, la empresa debe implementar procedimientos internos que los empleados deben seguir. Tenga en cuenta que una empresa debe realizar cualquier corrección sin demora indebida. Normalmente, en el plazo de un mes a partir de la fecha de presentación de la solicitud por parte del interesado. Sin embargo, la empresa tiene derecho a ampliar el plazo en determinados casos específicos. Por ejemplo, si hay muchos interesados que han solicitado la rectificación durante el mismo período. O si es complicado llevar a cabo la acción. En tales casos, el período puede ampliarse a otros dos meses como máximo. Las empresas que deseen ampliar el plazo deben poder justificar la decisión.
Denegación de una solicitud
Una empresa puede rechazar una solicitud de rectificación. En tales casos, la empresa debe poder justificar la decisión.
Las empresas pueden concluir que los datos personales son correctos incluso si un interesado no lo considera así. Si la empresa llega a esta decisión, debe informar al interesado de la decisión. Esto debe hacerse en el plazo de un mes a partir de que la empresa reciba la solicitud del interesado. Las empresas deben tomar medidas razonables para garantizar que los datos personales que procesan sean precisos.
Verificar la identidad del interesado
Cuando un interesado solicita que sus datos personales sean corregidos o actualizados, la empresa debe asegurarse de que el contacto se realice con la persona adecuada. Por lo tanto, la empresa tiene derecho a verificar primero la identidad del interesado. Sin embargo, esto solo puede hacerse si existen motivos razonables para dudar de la identidad del interesado.
Información adicional
La empresa puede solicitar información adicional para demostrar la identidad del interesado. Sin embargo, esto debe hacerse de una manera que sea proporcionada.
Proporcional
Una empresa no puede recopilar más datos personales de los necesarios para la identificación. Esto es de conformidad con el artículo 12, apartado 6, del RGPD. La recogida de datos adicionales no debe llevarse a cabo sin una buena razón, ya que ello iría en contra del principio de minimización de datos. En otras palabras, la recogida debe ser proporcionada. No dará lugar a una nueva recogida no necesaria de datos personales.
Evaluación de la proporcionalidad
La empresa debe llevar a cabo una evaluación de proporcionalidad. La evaluación tendrá en cuenta diferentes aspectos. Por ejemplo, las consecuencias o riesgos de un uso no autorizado del derecho para el interesado. Además, qué daño podría ocurrir si la información se revela a la persona equivocada, o si la corrección se hace incorrectamente.
Datos personales sensibles
Otros factores que pueden ser útiles para incluir en la evaluación son si la solicitud se refiere a datos personales sensibles. Además, la naturaleza de los datos y el contexto en el que se realiza la solicitud. También puede ser pertinente tener en cuenta el tipo de actividad realizada por la empresa.
¿Cuándo puede la empresa exigir la presentación de un documento de identidad?
En la mayoría de los casos, no es necesario exigir la presentación del documento de identidad por parte del interesado para que la empresa realice una identificación. Exigir dicha presentación puede suponer un riesgo para la seguridad. Por lo tanto, una empresa solo debe exigir la presentación de un documento de identidad si esto es estrictamente necesario y se realiza sobre la base de la ley.
Una empresa tuvo que pagar una multa porque solicitó una copia del pasaporte para probar la identidad del interesado. La autoridad de control no lo consideró razonable. Esta documentación contenía demasiada información y no era proporcionada.
Considerar la posibilidad de verificar la identidad con otros medios
En su lugar, una empresa debe considerar verificar la identidad del interesado que solicita sus derechos por otros medios. Por ejemplo, haciendo preguntas de control que solo el interesado podría responder. Como información sobre otros datos de contacto del interesado en poder de la empresa.
OTROS PRINCIPIOS DE PROTECCIÓN DE DATOS
El Principio de Limitación de Almacenamiento bajo el RGPD
Es importante limitar la duración del almacenamiento de los datos personales. Una empresa eliminará los datos personales cuando ya no sean necesarios para la finalidad para la que fueron recogidos. También es posible anonimizar los datos en lugar de eliminarlos. Los datos anonimizados ya no son datos personales y, por lo tanto, no están cubiertos por el RGPD. Cuando una empresa procesa datos personales, la empresa debe saber de antemano cuánto tiempo es necesario procesar los datos personales. La empresa debe presentar esta información a los interesados.