Tratamiento de Datos Personales: Acceso de los interesados.
Según la normativa del RGPD, «un interesado debe tener derecho a acceder a los datos personales que se hayan recopilado sobre él o ella, y a ejercer ese derecho fácilmente y a intervalos razonables, para conocer y verificar la legalidad del procesamiento». El derecho de acceso, por ejemplo, permite a los interesados saber qué información personal ha adquirido un determinado responsable de datos sobre ellos. Las organizaciones (responsable de datos) están obligadas a responder a las solicitudes de Tratamiento de Datos Personales en un plazo de 30 días.
Las peticiones se gestionan gratuitamente para el interesado, salvo que tengan un carácter repetitivo, que permitirá el cobro de un canon o incluso negarse a actuar, cuando existan razones suficientes.
Cualquier información relacionada o que pueda usarse para identificar a una persona de alguna manera cae bajo el ámbito del RGPD. Además de enviar una copia de los datos personales del solicitante, también debes proporcionar la siguiente información:
- La(s) razón(es) por la(s) que está procesando sus datos;
- Las categorías de datos personales recopilados; con quién se comparten sus datos personales;
- Cuánto tiempo se conservarán sus datos personales;
- Información sobre sus derechos;
- Cómo obtuvo sus datos: si no obtuvo los datos directamente del sujeto;
- Información sobre cualquier toma de decisiones automatizada;
- Las medidas de seguridad establecidas para salvaguardar sus datos cuando se transfieren a un tercero;
- Los detalles de cualquier contacto relevante, como el Delegado de Protección de Datos (DPO) u otras personas y organismos;
El derecho a ser informado. Debe ser abierto y transparente sobre la información personal que recopila. Incluso si no obtuvo ninguna información personal del solicitante, aún debe responder a las solicitudes.
El derecho de acceso. Las personas tienen derecho a saber si se procesa su información personal y cómo, así como las categorías de información recopilada, la razón (s) por la que se procesa, con quién se comparte la información, cuánto tiempo se conservará y cómo se obtuvo.
El derecho de rectificación. Las organizaciones deben asegurarse de que los datos personales que almacenan sean precisos y estén actualizados. Las personas tienen derecho a solicitar que los datos personales incompletos o erróneos sean corregidos de manera oportuna.
El derecho de supresión (derecho al olvido). El sujeto podrá ejercitar el derecho ante el responsable la supresión de sus datos de carácter personal cuando concurran determinadas circunstancias: ya no son necesarios para los fines que se recogieron, retira el consentimiento prestado en su momento, etc.
El derecho a la portabilidad de los datos. Una persona tiene derecho a solicitar que una empresa transfiera sus datos personales a otro proveedor de servicios con el fin de promover la interoperabilidad y fomentar la competencia entre los proveedores de servicios.
El derecho a oponerse a las actividades de procesamiento de datos. Las personas pueden exigir que una empresa deje de usar sus datos para fines de marketing u otros fines, a menos que la empresa pueda justificar las actividades de procesamiento.
Derechos en relación con la toma de decisiones automatizada y la elaboración de perfiles. En circunstancias en las que sus datos se utilizan para la toma de decisiones automatizada y la elaboración de perfiles, la empresa debe proporcionar «información significativa sobre la lógica involucrada, así como la importancia y las consecuencias previstas de dicho procesamiento para el interesado».
Descubre y clasifica tus datos
Saber exactamente qué datos regulados tienes, dónde se almacenan, de dónde provienen, con quién los intercambias y por qué los estás procesando, es crucial si quieres cumplir con el RGPD. Dado que los datos se pueden almacenar en una amplia variedad de repositorios, tanto OnPremise como en la nube, lo ideal es utilizar una solución de clasificación de datos. Este le permitirá localizar todos los datos pertenecientes al sujeto antes de que haya pasado el plazo de 30 días.
Determinar por qué está recopilando datos personales
Asegúrese de comprender por qué está almacenando datos personales en primer lugar. Si no tiene una razón convincente para retener los datos de un sujeto, lo mejor es eliminarlos. También es muy importante tener un comprobante del consentimiento de cada sujeto antes de conservar y procesar sus datos.
Establecer reglas para manejar diferentes tipos de datos
Establecer una política de seguridad centrada en el dato, te evitará muchas infracciones. Esto requiere hacer preguntas relacionadas con quién tiene acceso a qué datos personales, cómo, cuándo, por qué y desde dónde. Las respuestas a estas preguntas te ayudarán a establecer un conjunto sólido de controles de acceso, así como a realizar un seguimiento de cómo se accede y utiliza los datos personales.
Actualiza regularmente tus políticas de seguridad
Las políticas de seguridad sirven para garantizar que tu empresa toma todas las medidas razonables para almacenar y procesar datos personales de manera adecuada. Todo cambio en las políticas de seguridad debe documentarse adecuadamente.
Plantear la figura del Delegado de Protección de Datos (DPO), si es necesario
En algunos escenarios, es posible que se deba designar un DPO: las organizaciones públicas, las empresas que manejan datos personales de forma continua y gran volumen y las empresas que procesan categorías especiales de datos, deben nombrar DPO.
Proporciona una manera fácil para que los usuarios gestionen sus solicitudes: Formulario de Tratamiento de Datos Personales.
Para garantizar que las solicitudes se envíen a la persona o departamento apropiado y contengan la información relevante, es una buena práctica proporcionar un formulario Tratamiento de Datos Personales en línea. Esto evitará que los clientes envíen sus solicitudes a la primera dirección de correo electrónico que encuentren y en el formato incorrecto.
Usar métodos seguros de autenticación
Asegúrate que cada solicitud provenga de una persona genuina; sin embargo, no lo hagas solicitando datos protegidos por RGPD que aún no tengas. La mejor opción es pedirle al usuario que confirme su identidad mediante información personal de la que ya dispones.
Lepide Data Security Platform, una solución centrada en el dato.
Lepide DSP incorpora un módulo complementario: DATA DISCOVERY & CLASSIFICATION , que localiza los ficheros que contienen información sensible en los repositorios corporativos, de una manera automática.
Para este proceso de búsqueda Lepide DSP se basa en: expresiones regulares, palabras clave o estructuras numéricas concretas. Por ejemplo, D.N.I., IBAN, números de Seguridad Social, direcciones IP, direcciones de correo electrónico (E-Mail) etc.
Además, sus funcionalidades de alerta y reacción, ante un evento preestablecido en uno de los ficheros señalados como sensibles, podríamos recibir una alerta e incluso, se podría lanzar un script que actuase según lo previsto para estos casos.
¿seguimos hablando?