Ya hemos explicado que las personas (los interesados) tienen derecho a solicitar información al responsable del tratamiento (la persona que determina las finalidades del tratamiento de los datos) sobre cómo se tratan sus datos personales. Según el Reglamento de Datos, las personas también pueden solicitar al responsable del tratamiento que realice diversas acciones con sus datos, como la rectificación, supresión o portabilidad de los datos. En esta ocasión explicaremos cómo debe actuar el responsable si ha recibido una solicitud de una persona como interesado.
1. ¡Identifique al interesado!
Al recibir una solicitud de un interesado, el responsable del tratamiento deberá verificar inicialmente la identidad del interesado. Esto es necesario para evitar el riesgo de que se cedan datos personales a un tercero o se realicen otras acciones con los datos de una persona que no los ha solicitado. Si la información presentada no es suficiente para confirmar la identidad del solicitante, el administrador podrá solicitar información adicional.
La identificación de una persona no siempre requiere, por ejemplo, la presentación de un documento de identificación personal, la autenticación en el entorno electrónico con medios cualificados de identificación o la solicitud de una solicitud firmada. Por ejemplo, si una persona ha creado una cuenta de usuario en el portal del administrador y se le brinda la oportunidad de corregir datos o enviar un mensaje desde su perfil, la identidad de la persona o su separación de otros usuarios se verifica cuando la persona ha ingresado el nombre de usuario correcto. y contraseña y se unió al sistema.
2. ¡Descubra el propósito de la solicitud!
Al familiarizarse con el contenido de la solicitud, en primer lugar deberá identificar claramente qué derechos pretende ejercitar la persona al enviar la solicitud, de modo que cuando ésta se cumpla, queden asegurados los correspondientes derechos del interesado. Para garantizar que las solicitudes puedan comprender claramente qué acción espera una persona del gerente, el gerente puede desarrollar un formulario de solicitud que formule posibles solicitudes.
3. ¡Presta atención al formato de la respuesta!
El responsable del tratamiento deberá proporcionar la información relacionada con la solicitud por escrito o de otro modo, incluso, si es necesario, en formato electrónico.
A petición de una persona, la información también se puede proporcionar de forma oral, pero se estipula que esto sólo podrá hacerse si se ha demostrado de otra manera la identidad del interesado. Al evaluar si es posible proporcionar la información solicitada oralmente, se debe determinar si se garantizará el cumplimiento del principio de rendición de cuentas en el marco de dicha comunicación. En pocas palabras: ¿podrá el gerente demostrar que se ha cumplido la solicitud? El cumplimiento del principio mencionado puede garantizarse, por ejemplo, mediante la grabación de la conversación, si se realiza de conformidad con los requisitos del Reglamento de Datos.
Si es técnicamente posible, la respuesta a la solicitud deberá darse por el mismo canal de comunicación que utilizó la persona.
4. ¡Respete los plazos de respuesta!
La solicitud deberá ser contestada sin dilación indebida y a más tardar un mes después de su recepción, pero en determinados casos este plazo podrá ampliarse dos meses si la solicitud es compleja o si la persona en cuestión ha presentado muchas solicitudes.
Una solicitud puede considerarse compleja al evaluar, por ejemplo, las siguientes circunstancias:
- la cantidad de datos procesados;
- cómo se almacena la información, especialmente si es difícil de recuperar, por ejemplo si los datos son procesados por diferentes unidades del responsable del tratamiento;
- es necesario editar la información antes de emitirla, si, por ejemplo, también contiene datos de otras personas o un secreto comercial;
- proporcionar la información solicitada requiere un procesamiento adicional para que la información proporcionada sea comprensible y utilizable.
Si fuera necesario ampliar el plazo, el responsable deberá en todo caso informar de ello al solicitante dentro del mes siguiente a la recepción de la solicitud, indicando por qué el examen necesita más tiempo.
5. ¡Actúe en consecuencia si recibe una solicitud irrazonable o desproporcionada!
Existen excepciones a las obligaciones impuestas al responsable del tratamiento si la solicitud es manifiestamente irrazonable o excesiva, especialmente si las solicitudes de la persona se repiten periódicamente.
En tales casos, el administrador podrá:
- cobrar una tarifa razonable por cumplir con la solicitud para cubrir los costos administrativos asociados con proporcionar la información o comunicación o tomar la acción solicitada (generalmente, cuando se realiza una solicitud adecuada, se cumplirá sin cargo), o
- negarse a cumplir con la solicitud.
En caso de que se haya tomado alguna de las decisiones mencionadas, el gestor está obligado a justificar su decisión, indicando por qué la solicitud se consideró improcedente.
Una demanda irrazonable o excesiva puede indicarse, por ejemplo, mediante los siguientes signos:
- no es posible identificar al solicitante incluso después de solicitar información adicional;
- solicitado para realizar acciones o proporcionar información que el responsable del tratamiento no está obligado a realizar;
- la persona ha presentado anteriormente una solicitud igual o similar (también se debe tener en cuenta cuánto tiempo hace que se presentó dicha solicitud) y no se han realizado cambios en el procesamiento de datos desde la solicitud anterior y su cumplimiento.
Si el responsable del tratamiento no realiza las acciones solicitadas, deberá informar a la persona, a más tardar un mes después de recibir la solicitud, por qué no se realizarán e informarle sobre la posibilidad de presentar una queja ante la Inspección del Estado de Datos y acudir a los tribunales.
6. ¡Tenga en cuenta las restricciones al ejercicio de los derechos de los interesados!
El derecho del interesado a recibir información sobre el procesamiento de datos también puede verse limitado en los casos previstos por la ley. La divulgación de información puede restringirse si está prohibida su divulgación de conformidad con disposiciones reglamentarias, por ejemplo en el ámbito de la seguridad nacional, la defensa nacional, la seguridad pública y el derecho penal. Asimismo, si se prohíbe que la información proporcionada al interesado incluya una indicación de instituciones estatales que sean iniciadoras de procesos penales o sujetos de actividades operativas, y otras instituciones para las cuales la divulgación de dicha información esté prohibida por la ley. La ley también prevé un período limitado (dos años) durante el cual el responsable del tratamiento está obligado a proporcionar información sobre los destinatarios de los datos personales.
En el caso de que la solicitud esté relacionada con registros de auditoría realizados en el sistema de información del gerente (datos registrados sobre eventos en el sistema), debe recordarse que el gerente tiene derecho a no proporcionar dicha información si se cumplen las condiciones especificadas en la ley. encontrado.
7. ¡Documente el progreso del procesamiento de la solicitud!
Para garantizar el cumplimiento del principio de rendición de cuentas, el gerente debe mantener registros de las solicitudes recibidas y su procesamiento. Registrar el progreso del procesamiento es especialmente importante si, durante la revisión de la solicitud, se toma la decisión de que la solicitud no se satisface total o parcialmente o, por ejemplo, si una persona debe pagar por el cumplimiento de la solicitud. El responsable deberá desarrollar un procedimiento para atender las solicitudes de los interesados, consagrándolo en normas internas, a fin de garantizar una práctica uniforme y transparente en el cumplimiento de sus funciones. Asimismo, el responsable puede describir el procedimiento para tramitar las solicitudes del interesado en la política de privacidad, proporcionando previamente a las personas información que puede ser útil para preparar la correspondiente solicitud.
8. ¡Coopera con la Inspección del Estado de Datos!
El controlador debe estar dispuesto a cooperar con la autoridad de control y proporcionar información sobre el procesamiento de las solicitudes en los casos en que una persona se presente ante la Inspección del Estado de Datos con una queja sobre la respuesta o falta de respuesta del controlador. Por otro lado, el responsable puede dirigirse a la Inspección Estatal de Datos si tiene dudas sobre el examen de la solicitud de conformidad con los requisitos del Reglamento de Datos.