/, LOPD – Protección de Datos, Otros Artículos/Gestión de Solicitud de Acceso Personal (Subject Access Requests, SAR) bajo GDPR

Gestión de Solicitud de Acceso Personal (Subject Access Requests, SAR) bajo GDPR

Hace unas semanas, la Unión Europea cambió gran parte del mundo digital. El 25 de mayo entró en vigor el muy esperado Reglamento General de Protección de Datos (General Data Protection Regulation,DPR). Las empresas con presencia digital en Europa se esforzaron por cumplir con ese plazo, sin embargo, todavía hay muchas preguntas sobre lo que significa y cómo afectará a las relaciones entre empresa y cliente.

Una pregunta fundamental es cómo las empresas verifican la identidad de una solicitud de acceso al sujeto (Subject Access Request, SAR) recibida de un individuo. Mientras muchas organizaciones se han centrado en establecer una estructura para gestionar los datos personales de los ciudadanos de la UE para garantizar que cumplan con GDPR, no han pensado demasiado en cómo gestionarán los SARs.

Según GDPR, si una persona quiere saber qué datos personales tiene una organización en los archivos sobre ellos, tienen el derecho de acceder y poder solicitar que se les entregue la información. Esa solicitud puede incluir la confirmación de que se procesen sus datos, el acceso a sus datos personales, y cualquier otro tipo de datos o información pertinente a la política de privacidad de la organización.

Los Fundamentos

Una persona que presente una solicitud para acceder a sus datos debe poder hacerlo de forma electrónica o física. En general, eso significa tener una forma de contactar a una empresa a través de un formulario web, correo electrónico o por teléfono. Si se presenta tal solicitud, la organización debe responder en el plazo máximo de un mes. Se pueden otorgar ampliaciones de hasta tres meses si la solicitud es muy compleja o requiere una gran cantidad de datos para procesar. Además, la información debe proporcionarse de forma gratuita, aunque se pueden cobrar unos gastos administrativos si la solicitud se considera excesiva o irrazonable.

Cuando un sujeto realiza una solicitud de información, puede preguntar detalles sobre los datos que posee la empresa. Naturalmente, esto incluye datos básicos como el nombre, la dirección y el correo electrónico registrados. También pueden preguntar sobre el propósito de la organización para procesar los datos, las categorías de datos personales conservados, quién tiene acceso a los datos, si serán transferidos o no fuera de la UE, por cuánto tiempo se están almacenando, si hay cualquier proceso de decisión automatizado con respecto a los datos y más.

Bajo el GDPR, el sujeto es visto como el dueño final de los datos. Como tal, tiene derecho a tener control sobre sus datos personales y esto incluye la eliminación de sus datos del sistema de la empresa. Ya sea que una empresa opere como un controlador de datoso un procesador de datos, la responsabilidad no es solo responder sino también cumplir con dicha solicitud. Eso puede causar una serie de complejidades y problemas, y si dicha solicitud llega, la empresa tiene que seguir los pasos necesarios para cumplir con la solicitud de eliminación de datos solicitada.

Derechos de los Sujetos de los Datos

El GDPR otorga a los residentes de la UE una serie de derechos fundamentalescon respecto a sus datos. Uno de ellos – el derecho a eliminar sus datos, o el derecho a ser olvidado– es considerado uno de los derechos más difíciles de procesar y gestionar, dada la procedencia de los datos y la forma en que se utilizan en muchas aplicaciones web.

Un sujeto de datos puede solicitar la eliminación de sus datos y si cumple con alguna de las siguientes condiciones, debe respetarse, sin demora, cumpliendo con la solicitud en el plazo de un mes:

  • Los datos ya no son necesarios
  • El sujeto ya no da su consentimiento para el procesamiento de sus datos, a pesar de haber estado previamente de acuerdo
  • El sujeto ejerce su derecho a oponerse al procesamiento de sus datos
  • Las empresas que controlan y/o procesan los datos están usando ilegalmente los mismos
  • Los datos tienen un requisito legal para la eliminación
  • El sujeto era menor cuando se recopilaron sus datos

Además, si la información del sujeto llega ser pública, el controlador de los datos debe asumir la responsabilidad y hacer los esfuerzos razonables para que sea eliminada y borrada de otros procesadores de datos.

Sin embargo, existen algunas excepciones, que incluyen medidas de cumplimiento, requisitos legales para guardar los datos, o asuntos de interés público como salud pública, estadísticas e investigaciones o motivos de libertad de expresión. Una empresa debe tener cuidado de no utilizar estas excepciones de manera frívola o como un método para denegar solicitudes de eliminación.

Verificar y Eliminar

Una vez que el sujeto de datos realiza la solicitud y se considera que se ajusta a las estipulaciones del GDPR para el borrado de datos, la organización es responsable de eliminar esa información. Sin embargo, antes de ir al extenso proceso de publicación o eliminación de los datos de un sujeto, es aconsejable primero determinar que la solicitud proviene del sujeto de datos real. Eso requiere verificar su identidad.

Un sujeto de datos tiene derecho a borrar, procesar una solicitud fraudulenta y liberar o eliminar sus datos personales de una empresa, lo cual puede causar un conjunto de problemas completamente diferentes. Esto puede mitigarse agregando un paso en los flujos de trabajo para verificar la identidad de la parte que realiza la solicitud. Hacer esto ayudará a garantizar que no se cause daño a los clientes mediante la divulgación de datos a un estafador y que los clientes no se vean incomodados al eliminar la información cuando no solicitaron que se elimine. Esto puede hacerse a través de varios métodos de verificación de identidad electrónica, que pueden incluir atributos de datos de identidad, datos móviles y biométricos, y procesos para la verificación de documentos.

Esta es una buena práctica – garantizar que las solicitudes fraudulentas no se procesen – y una que no imponga enormes esfuerzos a la empresa ni a su equipo de cumplimiento, ya que las solicitudes pueden ser abundantes. Una encuesta de Capgemini de abril de 2018 reveló que hasta el 57 % de los sujetos tomarán medidas si la organización con la que interactúa no garantiza la protecciónde sus datos personales.

Si eso se convierte en realidad, los procesadores de datos y los controladores deberán asegurarse de que su manejo de las solicitudes de eliminación y los procesos de verificación estén organizados y sean eficientes. Con solo un mes para responder a la solicitud de eliminación de datos de un sujeto, cuanto más rápido y automatizado sea el proceso, más fácil será cumplir con las regulaciones del GDPR y evitar las sanciones y multas asociadas, las cuales pueden alcanzar hasta el 4 % de los ingresos de la compañía.

Fuente: Trulioo

Contacta con nosotros

General Director Spain & LATAM
Executive Director
2018-07-16T12:25:16+00:00 16 julio, 2018|Identidad Electrónica, LOPD – Protección de Datos, Otros Artículos|