ESTABLECER PROCEDIMIENTOS ESCRITOS
Procedimientos escritos para respetar los derechos de los interesados
Es bueno que las empresas establezcan procedimientos escritos para cumplir con los derechos de los interesados de acuerdo con el RGPD.
Los procedimientos son una buena manera de demostrar el cumplimiento de RGPD
Las empresas deben poder demostrar que cumplen con las reglas del RGPD y, por lo tanto, es aconsejable tener ciertos acuerdos y documentos relacionados con el RGPD.
Por ejemplo, diferentes procedimientos escritos. Además, los procedimientos escritos pueden hacer que el trabajo para los empleados sea más eficiente y reducir los errores, ya que se hace más claro cómo y quién debe hacer qué.
Ocho (8) derechos fundamentales de los interesados en virtud del RGPD
Según el RGPD, los interesados tienen, entre otras cosas, el derecho a:
Información (artículo 13 del RGPD y artículo 14 del RGPD)
En virtud de la norma general, las empresas deben informar a los interesados antes de procesar los datos personales. La información sobre el tratamiento también se facilitará a petición del interesado. La información generalmente se establece en un aviso de privacidad.
Acceso (artículo 15 del RGPD)
Los interesados tienen derecho a saber cuáles de sus datos personales trata una empresa y a solicitar una copia de los mismos. Además, la empresa debe proporcionar información sobre el tratamiento, como la finalidad del tratamiento, la duración del tratamiento, los derechos de los interesados, etc.
Corrección (artículo 16 del RGPD)
Las empresas deben procesar datos personales correctos y completos, pero no es raro que se procesen datos personales incorrectos. Por ejemplo, si un interesado cambia su número de teléfono y no se actualiza en la empresa. Si la persona se pone en contacto con la empresa para que se corrijan o completen sus datos personales, la empresa lo hará.
Supresión (artículo 17 del RGPD)
Los interesados tienen derecho a ponerse en contacto con las empresas para que se eliminen sus datos personales. Este derecho también se denomina «derecho al olvido». En la mayoría de los casos, la empresa debe hacerlo, pero hay algunas excepciones a la eliminación. Por ejemplo, si la empresa necesita continuar procesando los datos personales para cumplir con una obligación legal.
Restricción (artículo 18 del RGPD)
Existen situaciones en las que los interesados tienen derecho a que se restrinja el tratamiento de sus datos personales. Por ejemplo, mientras una empresa está investigando la exactitud de los datos personales, cuando el interesado ha solicitado la rectificación.
Portabilidad de los datos (artículo 20 del RGPD)
El derecho a la portabilidad de los datos significa que, en determinados casos, los interesados tienen derecho a que sus datos personales se transfieran a otro responsable del tratamiento, como un competidor. Tenga en cuenta que las empresas solo necesitan hacerlo si es técnicamente factible, el procesamiento es automatizado y se basa en un contrato o consentimiento como base legal.
Objeción (artículo 21 del RGPD)
Los interesados tienen derecho a oponerse al tratamiento cuando la base jurídica sea un interés legítimo, en el ejercicio de poderes públicos conferidos a ellos o para una tarea realizada en interés público. Por ejemplo, un interesado puede solicitar a una empresa que detenga el marketing directo por correo electrónico basado en un interés legítimo.
Toma de decisiones automatizada, incluida la elaboración de perfiles (artículo 22 del RGPD)
La toma de decisiones automatizada según RGPD es cuando se toma una decisión sin contacto personal o influencia. Los interesados tienen derecho a no ser objeto de decisiones automatizadas que tengan consecuencias legales para ellos. Si el interesado ha dado su consentimiento explícito o la toma de decisiones automatizada es necesaria para la ejecución de un contrato, está permitido llevar a cabo dicha decisión automatizada.
Tenga en cuenta que hay aún más derechos en el RGPD que estos ocho (8) derechos, que son los más fundamentales. Por ejemplo, el derecho del interesado a retirar el consentimiento con arreglo al artículo 7, apartado 3, del RGPD. Además, los interesados tienen derecho a presentar una reclamación ante la autoridad nacional de control de conformidad con el artículo 77 del RGPD.
¿Pueden las empresas verificar a los interesados que solicitan que se cumpla un derecho?
Sí, las empresas deben verificar la identidad del interesado que solicita el cumplimiento de un derecho. Esto es importante para garantizar una gestión adecuada de la solicitud. Por ejemplo, si los datos personales se divulgan a la persona equivocada, constituye una violación de datos personales. Lo mismo se aplica si los datos personales se eliminan o modifican por error.
Plazo para el ejercicio de los derechos de los interesados
Cuando un interesado se pone en contacto con una empresa para que se le otorgue un derecho, la empresa siempre debe responder a la solicitud en el plazo de un mes a partir de la recepción de la solicitud. Además, la empresa también debe tratar de tramitar la solicitud dentro del plazo, pero puede haber la posibilidad de ampliar el plazo por otros dos meses. Tenga en cuenta, sin embargo, que la empresa debe informar al interesado de la extensión dentro del primer mes. Una razón para ampliar el plazo puede ser que la empresa reciba una cantidad inusual de solicitudes al mismo tiempo.
Además de los procedimientos escritos para satisfacer los derechos de los interesados, puede ser bueno que la empresa también disponga de procedimientos para:
Compartir datos internamente entre empleados
Obtención y retirada del consentimiento
Gestión de redes sociales y fotografía
Responder a las medidas adoptadas
La empresa informará al interesado de las medidas adoptadas en el momento de la recepción de la solicitud de ejercicio de sus derechos. También es bueno que la empresa justifique sus decisiones y explique claramente el proceso y las medidas adoptadas.
¿Qué puede contener un procedimiento para hacer valer los derechos de los interesados?
Recibo
Incluya información sobre cómo y dónde se pueden recibir las solicitudes, lo que facilita a los empleados saber dónde realizar un seguimiento adicional. Por ejemplo, correo electrónico, cartas, redes sociales o similares.
Verificación
Las empresas pueden tener que verificar que la persona que solicita un derecho es realmente la persona adecuada. Es bueno incluir cuándo y cómo debe llevarse a cabo dicha identificación. Además, es bueno incluir cómo la identificación puede no tener lugar. Puede ser desproporcionado solicitar, por ejemplo, una copia de un pasaporte en ciertos casos.
Identificación
Identificar dentro de qué sistemas los datos personales son procesados por la empresa. Esto facilita la búsqueda de datos personales, la delegación de responsabilidad y la forma en que los datos personales deben ser recuperados, eliminados o revisados de acuerdo con los requisitos de seguridad del RGPD.
Evaluación
No todos los derechos se aplican en todas las situaciones. Por lo tanto, es bueno especificar cuándo se aplican los derechos. Además, puede haber excepciones al ejercicio de un derecho. También es conveniente especificarlas en el procedimiento escrito.
Respuesta
Las empresas deben responder a los interesados que soliciten que se cumpla un derecho. Es bueno tener plantillas de respuesta listas para facilitar y agilizar el trabajo y reducir el riesgo de olvidar algo. Tenga en cuenta que la respuesta debe ser fácil de entender para los interesados, no un lenguaje legal complicado para tratar de confundir al lector.
Documentación
Las empresas deben poder demostrar que cumplen con RGPD y, por lo tanto, es bueno documentar gran parte del trabajo de RGPD. Por ejemplo, las actividades realizadas en relación con el procesamiento de la solicitud de un interesado de tener un derecho satisfecho. Incluya instrucciones en el procedimiento sobre lo que debe documentarse, cuánto tiempo debe conservarse la documentación y dónde debe almacenarse.
Tenga en cuenta que las empresas pueden rechazar ciertas solicitudes
En algunos casos, las empresas pueden negar a un interesado que solicita que se cumpla un derecho. Por ejemplo, si un interesado desea que se borren sus datos personales, pero la empresa debe continuar procesándolos para cumplir con una obligación legal.
APRENDE MÁS
Procedimientos de onboarding y offboarding
Es durante los períodos de transición, es decir, cuando una persona comienza o termina de trabajar en una empresa, que la vulnerabilidad es mayor. Por lo tanto, es bueno crear buenos procedimientos para la incorporación y la eliminación e informar sobre el contenido del procedimiento oralmente para minimizar los malentendidos y errores. Es una medida de seguridad organizacional importante que muchas empresas toman.