PROCEDIMIENTOS ESCRITOS
Procedimientos de supresión de datos personales
Es importante que las empresas dispongan de procedimientos escritos para la supresión de datos personales, a fin de garantizar que la supresión se lleve a cabo de manera oportuna y correcta.
¿Qué es el borrado de datos personales?
La eliminación de datos personales significa que las empresas eliminan los datos personales. Alternativamente, anonimízalos. El principio básico de protección de datos de minimización del almacenamiento significa que los datos personales no pueden tratarse durante más tiempo del necesario. Esta es la razón principal por la que las empresas deben borrar los datos personales cuando ya no es necesario procesarlos.
Las empresas deben tener diferentes procedimientos escritos
Es importante que las empresas puedan demostrar que cumplen el RGPD en la práctica, ya que es un requisito del RGPD con arreglo al principio de rendición de cuentas del artículo 5, apartado 2, del RGPD. Por ejemplo, las empresas deben tener ciertos acuerdos y documentos escritos relacionados con RGPD. Los procedimientos escritos pueden ser una forma efectiva de garantizar que los empleados de la empresa cumplan con las reglas de RGPD en la práctica. Los procedimientos deben incluir respuestas a estas cuatro preguntas:
- Qué: Lo que los empleados deben hacer.
- Cuando:Cuando los empleados lo hacen.
- Cómo: Cómo lo harán los empleados.
- Quién: ¿Quién en la empresa va a hacer qué?
Los procedimientos exactos que las empresas necesitan o que pueden ser apropiados varían
Los procedimientos exactos que pueden ser buenos para las empresas varían de un caso a otro. Cuantos más empleados y departamentos tenga la empresa, más procedimientos suelen ser apropiados para establecer. Ejemplos de otros procedimientos que pueden ser apropiados para las empresas son los procedimientos para:
- Cumplimiento de los derechos de los interesados previa solicitud
- Incorporación y desincorporación de los empleados
- Compartir datos internamente entre empleados
- Obtención y retirada del consentimiento
- Gestión de redes sociales y fotografía
Eliminación de datos personales cuando ya no son necesarios para el propósito
Las empresas borrarán los datos personales cuando la empresa ya no los necesite para la finalidad para la que fueron recogidos. Tenga en cuenta, sin embargo, que puede haber leyes que requieran un procesamiento adicional. En algunos casos, las empresas deben continuar procesando datos personales debido a una obligación legal a la que la empresa está sujeta. En otras palabras, porque el procesamiento aparece como un requisito en una ley. Por ejemplo, las empresas deben tramitar facturas y recibos durante un determinado número de años con arreglo a la legislación contable nacional.
Las empresas deben, entre otras cosas:
Eliminar los datos personales cuando ya no sean necesarios para el propósito, a menos que exista una obligación legal que requiera un procesamiento continuo.
Ser capaz de mostrar cuándo y cómo se lleva a cabo la eliminación de datos personales. Por lo tanto, es bueno tener procedimientos escritos para el borrado y siempre registrar el adelgazamiento completado.
La supresión de los datos personales tratados puede reducir las posibles consecuencias en caso de violación de los datos personales
Cuantos menos datos personales procese una empresa, menor será el nivel de riesgo de posibles consecuencias en caso de violaciones de datos personales.
¿Qué puede contener un procedimiento de supresión de datos personales?
Identificación de datos personales
Es importante identificar en primer lugar dónde se encuentran todos los datos personales que se procesan y luego poder eliminarlos de los sitios de almacenamiento. Por ejemplo, qué sistemas, bases de datos, carpetas digitales y similares contienen datos personales.
Plazos
Los datos personales deben borrarse periódicamente y, por lo tanto, es conveniente especificar plazos concretos en los procedimientos. Por ejemplo, el «último viernes de cada trimestre». Tenga en cuenta que si un interesado solicita la eliminación de sus datos personales que la empresa procesa, la eliminación debe tener lugar lo antes posible.
Distribución de funciones
Es importante especificar quién borrará qué datos personales de qué sistemas. Si no está claro, aumenta el riesgo de que no se produzca el borrado. Por ejemplo, un empleado específico debe ser responsable de borrar los datos personales del sistema financiero, la dirección de correo electrónico general de la empresa para la comunicación externa, etc.
Cómo se llevará a cabo el borrado
La eliminación de datos personales no significa necesariamente que la empresa elimine los datos personales. En algunos casos, la empresa puede anonimizarlos. Los datos personales anonimizados ya no están cubiertos por el RGPD. Es bueno que los procedimientos aclaren cómo debe hacerse la supresión de manera correcta y segura.
Documentación
La eliminación de datos personales debe documentarse para que la empresa demuestre el cumplimiento del RGPD en la práctica. Por ejemplo, en un protocolo de borrado o un libro de registro de borrado.
APRENDE MÁS
Procedimientos para respetar los derechos de los interesados
Los interesados tienen una serie de derechos en virtud del RGPD que las empresas deben poder cumplir previa solicitud. Con el fin de garantizar que se haga correctamente, como dentro de los plazos establecidos, es bueno contar con procedimientos escritos. Además, es importante que las personas adecuadas tengan acceso a los procedimientos. Por ejemplo, los empleados de servicio al cliente generalmente reciben preguntas sobre la eliminación o rectificación de datos personales de los interesados, y por lo tanto es bueno si tienen procedimientos sobre cómo proceder.