Derechos de los individuos en el Nuevo Reglamento de Protección de Datos (GDPR)

El nuevo Reglamento General de Protección de datos (GDPR) plantea importantes retos a las empresas para su cumplimiento. Entre los aspectos más relevantes podemos citar nuevos derechos como el derecho al olvido o a la portabilidad de datos; la obligatoriedad de notificar a las autoridades de protección de datos las brechas significativas de la seguridad en un plazo máximo de 72 horas o el duro régimen de sanciones. Con el nuevo reglamento, las empresas que procesan datos de ciudadanos de la Unión habrán de ser mucho más cuidadosas en el modo en que manejan los datos personales de sus usuarios / clientes. Ignorar estos derechos no es una opción recomendable para estas empresas ante las posibles sanciones.

En este post vamos a dar unas breves nociones de cómo las organizaciones deben prepararse para gestionar estos derechos de los individuos.

La organización debe habilitar canales gratuitos para que los individuos puedan solicitar el ejercicio de sus derechos, como son el de acceso, cancelación, retención, oposición, portabilidad, limitación de tratamiento y derecho al olvido. Una buena práctica suele ser habilitar un buzón de correo electrónico, línea de teléfono y/o un portal web dedicado a tal efecto.

  • El derecho de acceso es aquel que ejerce el individuo para conocer y obtener gratuitamente información sobre los datos relativos a su persona que son tratados por la organización.

  • El derecho de rectificación es aquel que permite al individuo corregir aquellos datos relativos a su persona que son erróneos, modificando aquellos que sean inexactos o incompletos.

  • El derecho de oposición es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo.

  • El derecho de cancelación es aquel que ejerce el individuo para requerir que la organización suprima los datos personales relativos a su persona que obren en su poder. La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las administraciones y tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento durante el plazo de prescripción de éstas, transcurrido el cual deberá procederse a la supresión.

  • El derecho al olvido, como el derecho de cancelación, implica que la organización debe suprimir los datos personales del individuo que solicita este derecho; sin embargo, va más allá del derecho de cancelación ya que si la organización ha hecho públicos los datos personales del individuo solicitante, deberá indicar a todas las terceras partes que estén tratando estos datos difundidos que supriman todo enlace a ellos.

  • El derecho de limitación de tratamiento implica que la persona puede requerir a la organización que limite el acceso y procesamiento de sus datos, generalmente en aquellos casos en los que esté a la espera de una reclamación judicial, los datos manejados por la organización sean erróneos y el propio individuo solicita la esta restricción o para prevenir que la organización proceda a la supresión de oficio de los datos, por ejemplo.

  • El derecho de portabilidad implica que el individuo puede recibir por parte de la organización copia de los datos personales relativos a su persona que obren en su poder, en un formato estructurado estándar, de modo que el individuo pueda proporcionárselos a otra organización para, por ejemplo, cambiar de compañía prestadora de servicios. Este derecho también contempla que sea la propia organización la que transfiera los datos solicitados a un tercero. El derecho de portabilidad se limita a aquellos datos que hayan sido facilitados por el propio individuo por medios electrónicos, excluyendo los datos que la propia organización haya podido derivar a partir de aquellos.

El procedimiento establecido por la organización para la tramitación de estos derechos implica que habrá que formar a los empleados encargados de la recepción y gestión de estas solicitudes. En este sentido es imprescindible que los empleados conozcan los plazos formales para asegurar que los individuos reciben respuesta en el plazo previsto que, en el caso del reglamento europeo, es de 30 días desde la recepción de la solicitud. Este plazo puede extenderse a dos meses dependiendo de la complejidad de resolución y el número de solicitudes, aunque en estos casos habrá que responder al solicitante en el plazo de un mes informándole de la demoras y sus causas.

El procedimiento debe incluir el archivo de las solicitudes recibidas y tramitadas, de modo que pueda acreditarse su cumplimiento ante la autoridad de protección de datos. A dicho archivo solamente deben tener acceso los responsables de protección de datos de la organización.

Un aspecto importante a tener en cuenta a la hora de establecer el procedimiento de recepción de solicitudes es el de identificar y autenticar de manera apropiada a la persona que solicita, por ejemplo:

  • Mediante formulario firmado con copia de documento oficial identificativo como el DNI (entregado personalmente o por correo postal o electrónico)

  • Mediante comunicación electrónica firmada digitalmente; por ejemplo, mediante firma del correo electrónico con DNI electrónico u otro certificado reconocido.

  • En el caso de clientes o suscriptores de un servicio, por medio de la validación de las credenciales de acceso y validación; por ejemplo, usando la contraseña de uso del servicio.

En el caso de los derechos de cancelación, olvido y portabilidad, además de la necesidad de habilitar los canales de contacto referidos, la organización deberá implementar los procedimientos técnicos y organizativos para implementar el bloqueo y/o la supresión definitiva de los registros de datos de carácter personal en todas sus modalidades física y digital. Ello quiere decir que puede ser necesario contar con el apoyo del área de tecnología para poder implementar estos requisitos.

Otra de las dificultades que conlleva la implantación efectiva de estos procedimientos, es debida a la necesidad de extender el mandato a aquellas organizaciones terceras que intervengan en el tratamiento; por ejemplo, encargados del tratamiento, de modo que ellos puedan cumplir con los requisitos de la solicitud del individuo en los datos.

En el caso de Encargados del Tratamiento, debe contemplarse además el procedimiento a seguir cuando son éstos los que reciben las solicitudes por parte de los interesados. En estos casos, el contrato existente entre el encargado y el responsable debe establecer éste procedimiento.

Finalizamos aquí esta breve reseña, esperando que sea de utilidad. Hasta pronto.