Javascript is required
logo-dastralogo-dastra

4 etapas esenciales para gestionar las solicitudes de ejercicio de derechos

Implementar un proceso eficaz de gestión de solicitudes de ejercicio de derechos.

4 etapas esenciales para gestionar las solicitudes de ejercicio de derechos
Antoine Bidault
Antoine Bidault
8 enero 2024·16 minutos de lectura

La solicitud de ejercicio de derechos es un procedimiento mediante el cual los individuos pueden ejercer los derechos que les otorga el Reglamento General de Protección de Datos (RGPD).

Estos derechos incluyen:

Las personas cuyos datos son tratados pueden solicitar el ejercicio de estos derechos ante el responsable del tratamiento, quien está obligado a responder a su solicitud en un plazo de un mes. La solicitud de ejercicio de derechos es, por lo tanto, una herramienta importante para garantizar la protección de la privacidad y de los datos personales de los individuos. Esto requiere que las organizaciones se estructuren para recolectar y procesar efectivamente estas solicitudes.

Después de haber implementado este proceso en numerosas ocasiones en las organizaciones, nos hemos dado cuenta de que es mucho más complejo de llevar a cabo de lo que parece. De hecho, si no implementas una buena gobernanza y las herramientas adecuadas, corres el riesgo de ahogarte rápidamente en problemas de solicitudes incorrectamente procesadas, correos de ida y vuelta, y muchos costos ocultos, incluso conflictos legales.

Más allá de eso, es un trabajo repetitivo que aporta poco o ningún valor a la organización, salvo quizás una ganancia de confianza con las personas involucradas, lo cual no debe subestimarse. Por esta razón, es importante abordar el tema minimizando sus costos ocultos.

La gestión efectiva de una solicitud requiere la implementación de un proceso claro. Aquí tienes un esquema que resume el proceso en cuatro etapas: Esquema de funcionamiento

1. La recolección 📩

Esta primera etapa consiste en recolectar todas las solicitudes de ejercicio de derechos de las personas implicadas.

Los medios de recolección

Esto puede realizarse a través de diferentes canales como correo electrónico, un formulario en línea, un chat, correo postal o incluso verbalmente por teléfono. Es importante identificar correctamente cada solicitud y asegurarse de que la persona que la realiza es efectivamente la persona concernida. De hecho, es fundamental remediar todos los riesgos de suplantación de identidad, solicitudes realizadas por error, etc.

¿Qué medio elegir?

Medios Ventajas Desventajas
Correo electrónico de recolección (tipo dpo@dastra.eu) - Fácil de implementar
- Eficaz si el volumen de solicitudes es bajo
- La identidad del solicitante está pre-valiada a través de la dirección de correo electrónico
- Simple		 - Muchos costos ocultos
- Distribución de tareas más compleja
- Cualificación de solicitudes a menudo insuficiente
- A menudo requiere contactar a la persona concernida
- Mucho spam que puede crear ruido
- La transferencia de pruebas se realiza por correo electrónico, recae por tanto en el cliente garantizar la seguridad (y el alojamiento, si el volumen es alto) de los datos.
Formulario de recolección combinado con un portal de privacidad (Dastra) - Menos costos ocultos
- Proceso bien claro
- Automatizaciones posibles
- Cualificación automatizada
- Validación de identidad automatizada
- Eliminación del spam
- La transferencia de pruebas es segura
- Archivado automático		 - Un poco más complejo de implementar (necesita integración)
Teléfono - Más directo
- Eficaz para tratar solicitudes de acceso a datos básicos en directo		 - Riesgo de suplantación de identidad (necesita combinar con otros medios de verificación)
- Cualificación de la solicitud más compleja de gestionar
- Necesita herramientas específicas para seguir las solicitudes de los usuarios
- Spam
- Imposibilidad de transferir datos demasiado grandes o complejos
Carta - Fiable
- Funciona sin necesitar la dirección de correo del solicitante
- Más tranquilizador
- Permite enviar datos físicamente (discos, USB, ...)		 - Muchos costos ocultos
- Necesita herramientas para asegurar la trazabilidad y el archivo de las solicitudes
- No permite transmitir datos complejos (json, excel, ...)

Puedes, por supuesto, diversificar los medios de recolección dentro de la misma organización. Por ejemplo, poner a disposición una dirección de correo electrónico de recolección para empleados y un formulario de recolección para clientes y prospectos en tu sitio web. Lo importante es centralizar las solicitudes en un solo sistema.

¿Qué información solicitar?

Para cada solicitud de ejercicio de derecho, es importante asegurarte de tener la información correcta que permita responder adecuadamente cumpliendo con las normas impuestas por la regulación.

El tipo de solicitud: Esta información es esencial para una buena cualificación de la solicitud. Es importante saber si se trata de una solicitud de eliminación, oposición, acceso, información o portabilidad.

Nombre y apellidos: Estos datos son necesarios para identificar a la persona que hace la solicitud y asegurarse de que corresponde a la persona cuyos datos están registrados en el sistema. Dependiendo del tipo de solicitud, esta información puede no ser necesaria. Por ejemplo, en el derecho de oposición a recibir marketing por correo electrónico.

La dirección de correo electrónico: La dirección de correo electrónico es un dato personal que permite comunicarte con la persona que hace la solicitud y proporcionarle la información solicitada. Es importante asegurarse de que la dirección de correo electrónico proporcionada es válida. Esta dirección de correo electrónico será el medio privilegiado para comunicarte con la persona. También es posible hacerlo por correo postal en algunos casos... pero eso podría aumentar tus costos.

Número de cliente o identificador interno: Este dato puede ser requerido para ayudarte a identificar rápidamente a la persona concernida si ya es cliente de tu empresa o si tiene un identificador en tu organización (número de miembro, por ejemplo). Atención, no debes basarte únicamente en esta información para identificar a la persona, especialmente si recolectas la información en un entorno no autenticado; esta información será únicamente declarativa.

La categoría de persona concernida: Se refiere al tipo de persona que realiza la solicitud, que puede ser un cliente, un prospecto, un empleado... La necesidad de este campo dependerá, por supuesto, del alcance de tu servicio. Esta información es interesante para identificar el ámbito de los datos concernidos por la solicitud.

Información complementaria: Todo depende del contexto, pero puede ser útil dejar un campo abierto donde el usuario brinde precisiones sobre su solicitud. Puede ser que la solicitud del cliente concierna a un servicio particular. Quizás sólo necesite acceder a una parte específica de su información y no a la totalidad.

En algunos casos, si la solicitud requiere un volumen importante de datos a recolectar (salida de archivo...), esta puede ser considerada como compleja. Esto conlleva la consecuencia de extender los plazos de respuesta a 3 meses.

En resumen, es esencial recolectar los datos personales de manera legal, transparente y respetando los principios del RGPD. Los datos recolectados deben ser utilizados únicamente para el propósito especificado y las personas concernidas deben ser también informadas sobre sus derechos en materia de protección de datos. De hecho, la gestión de solicitudes constituye un tratamiento de datos en sí mismo.

2. Verificación de la identidad y elegibilidad de la solicitud 🔍

Antes de lanzarte de lleno a ejecutar la solicitud, es importante verificar la identidad del individuo que la ha realizado.

Aquí algunas razones para esta verificación de identidad:

Proteger los datos personales del individuo: El RGPD impone a las empresas y organizaciones proteger los datos personales de los individuos. Si un tercero no autorizado accede a los datos personales de un individuo, esto puede traer consecuencias nefastas para su privacidad, reputación y derechos. La verificación de la identidad permite garantizar que la solicitud proviene de la persona concernida, evitando así cualquier riesgo de acceso no autorizado a los datos personales.

Evitar fraudes: La verificación de identidad permite asegurar que la persona que realiza la solicitud es realmente quien dice ser. Esto ayuda a reducir los riesgos de fraude, suplantación de identidad y otras actividades delictivas.

Cumplir con las obligaciones legales: El RGPD impone a las empresas y organizaciones responder a las solicitudes de ejercicio de derechos de los individuos lo más rápido posible, con un plazo máximo de un mes. Sin embargo, este plazo puede alargarse si es necesaria la verificación de la identidad del individuo. Si la identidad del individuo no es verificada, las empresas y organizaciones podrían incumplir sus obligaciones legales en materia de protección de datos.

En resumen, la verificación de la identidad es esencial para garantizar la seguridad de los datos personales de los individuos y para cumplir con las obligaciones legales impuestas por el RGPD.

¿Por qué medios podemos ayudarte a verificar la identidad de un individuo?

  • Enviar un correo con un enlace de validación
  • Enviar un código por SMS
  • Solicitar el documento de identidad
  • Verificar que la dirección de correo electrónico realmente existe en la base de datos de la empresa

Esta verificación y los medios implementados dependerán en gran medida de la solicitud y de los datos en cuestión. De hecho, la simple oposición a recibir marketing por correo electrónico no tiene la misma sensibilidad que una solicitud de acceso a un archivo médico.

Por lo tanto, los medios deben ser adaptados a la sensibilidad de los datos solicitados, en un enfoque basado en los riesgos para los derechos y libertades de las personas.

3. El tratamiento de la solicitud ⚙️

Una vez recolectada y cualificada la solicitud, es hora de procesarla. Este es el paso más importante y complejo del proceso. Puede ser necesario solicitar información adicional al solicitante para clarificar la solicitud.

El tratamiento de la solicitud debe realizarse lo más pronto posible y en conformidad con los requisitos legales en materia de protección de datos personales.

Mapeo de datos

Para tratar una solicitud de manera efectiva, si tu sistema de información es complejo y tienes muchas herramientas, bases de datos o datos físicos, se recomienda encarecidamente realizar un mapeo de datos personales. Esto te permitirá saber fácilmente dónde se encuentran los datos personales en el sistema, quién es responsable del activo (soporte de datos) en cuestión y cómo ejecutar la solicitud. Herramientas como Dastra te permiten mantener fácilmente tu mapeo de datos con un conjunto de plantillas predefinidas para los software más comúnmente utilizados.

El registro de actividades de tratamiento se vuelve muy útil aquí para entender cómo se tratan los datos dentro de tu organización y no omitir datos y usos.

Responsabiliza a los equipos

Implementa una buena gobernanza para la gestión de tus solicitudes. Organiza, por ejemplo, tu recolección por áreas con un responsable a cargo de las solicitudes entrantes. Estos responsables se encargarán luego de distribuir las tareas de ejecución a las diferentes partes involucradas en la solicitud (por ejemplo, gerentes de bases de datos (DBA), Chief Data Officer, desarrolladores, operativos del negocio...). Una solución para delegar bien a los operativos es realizar una matriz RACI durante una reunión o un taller que reúna a todas las partes involucradas en el proyecto.

Una gobernanza efectiva es la clave del éxito para tratar efectivamente las solicitudes.

Recolecta pruebas

Durante esta fase de ejecución, tendrás que recolectar y centralizar un conjunto de pruebas de respuesta a esta solicitud.

En el caso de las solicitudes de acceso, el formato de los datos debe ser lo más claro posible, priorizando formatos abiertos y de fácil acceso: Excel, CSV, Documento de texto, imágenes,...

En caso de solicitudes de eliminación, en algunos casos puedes enviar capturas de pantalla o justificantes que demuestren la correcta eliminación de los datos del servicio.

Para las solicitudes de portabilidad, se pueden privilegiar formatos técnicos un poco más avanzados como JSON o XML, especialmente si los datos deben ser transferidos a otra organización que necesite consumir estos datos.

Por su esencia, estas pruebas contienen datos personales. Es esencial que el almacenamiento de estas pruebas se haga de la manera más segura posible.

4. Comunicación con la persona concernida 📨

Las respuestas deben proporcionarse lo más pronto posible y de una forma clara y comprensible para la persona concernida. También es importante responder de manera precisa y completa a la solicitud, proporcionando toda la información solicitada por la persona concernida. El canal privilegiado será el correo electrónico para este tipo de solicitudes.

No olvides que en la comunicación no solo debes incluir la respuesta a la solicitud, sino también proporcionar precisiones sobre el tratamiento de los datos en cuestión. De hecho, para cada solicitud de acceso a datos, es necesario proporcionar, además de los datos, la información esencial sobre el tratamiento de los datos (finalidades, categorías de datos tratados, destinatarios, plazos de conservación, derechos, transferencias, etc.). Esta información generalmente se encuentra en tu política de privacidad o en la información proporcionada durante la recolección de datos de las personas.

Duraciones de conservación de las solicitudes

Atención, si el responsable del tratamiento no da seguimiento a una solicitud de ejercicio de derecho, las personas concernidas pueden presentar una queja ante la autoridad de control y presentar un recurso judicial. La organización se expone, por un lado, a un control de la autoridad y, por otro, a una sanción. De ahí la importancia de mantener un registro de todas las solicitudes tratadas y documentar los procesos.

Además, el tratamiento de las solicitudes constituye un tratamiento de datos personales que requiere que los datos sean conservados por el tiempo necesario para llevar a cabo las solicitudes.

Con respecto a los plazos de conservación de las solicitudes:

Los plazos deben definirse con responsabilidad, según las reglas de prescripción. Así, se pueden recomendar los siguientes plazos:

  • 5 años a partir del final del año civil de tu solicitud.
  • 1 año para la copia de tu documento de identidad si se te ha solicitado (Atención, en una decisión de 2020 sobre este punto, la CNIL consideró que las copias de documentos de identidad no debían conservarse una vez realizada la verificación).
  • 6 años, en caso de ejercicio de tu derecho de oposición.

La conservación de los elementos debe ser objeto de un análisis cuidadoso. De hecho, es necesario minimizar los datos conservados únicamente con el fin de conservar pruebas.

Dependiendo de la sensibilidad de los datos y del tratamiento, puede ser necesario conservar más información. De hecho, la transmisión de datos de un archivo médico o de datos extremadamente sensibles puede requerir la conservación de la prueba de más elementos que la eliminación de una cuenta de fidelidad de una marca comercial. En cualquier caso, esto debe estar justificado.

Conclusión

Hemos llegado a las siguientes conclusiones de la implementación de este análisis:

Muchos costos ocultos

Si no dispones de una herramienta de automatización de solicitudes, te encontrarás rápidamente abrumado por un proceso complejo con un sistema de correo electrónico compartido.

La mayoría de las empresas utilizan hoy en día direcciones de correo electrónico compartidas del tipo dpo@empresa.com, privacy@...). Este es un sistema que puede funcionar bien con una buena gobernanza y una baja densidad de datos a gestionar. Pero muy pronto, si el volumen de solicitudes aumenta, notarás que los costos ocultos de una solicitud se dispararán: muchos idas y vueltas entre las partes involucradas, ausencia de trazabilidad, centralización de pruebas en un drive... Aunque no es un sustituto de una buena organización interna, una herramienta te ayudará a escalar y estructurar el proceso centralizando las solicitudes con sus pruebas y delegando las responsabilidades a los usuarios.

Aquí tienes un vistazo a la interfaz de gestión de una solicitud de ejercicio de derecho en Dastra: image.png

¡Automatiza!

Con Dastra, puedes automatizar todo el proceso desde la recolección, la validación de la identidad, el tratamiento e incluso la comunicación. Sin caer en la sobre ingeniería, puedes implementar un formulario de recolección en no-code que te permitirá verificar automáticamente la identidad del solicitante mientras cualificas perfectamente la solicitud. Un sistema también te permitirá distribuir automáticamente las solicitudes a los diferentes responsables de bases de datos.

De esta manera, puedes pasar a la gestión automatizada de las solicitudes de ejercicio de derecho. Todo esto te ahorrará tiempo para que te concentres en tu actividad principal.

¿Te gustaría ir más lejos?

Suscríbase a nuestro boletín

Le enviaremos algunos correos electrónicos para mantenerlo informado sobre nuestras novedades y las actualizaciones de nuestra solución.

* Siempre podrá darse de baja en cada boletín.