Desmitificar las solicitudes de acceso de los sujetos a los datos.

Un año después de la introducción del Reglamento General de Protección de Datos (RGPD) y está quedando claro que cuando se trata de las solicitudes de acceso de los sujetos a los datos (DSAR), las organizaciones están confundidas con respecto al deseo de equilibrar los derechos de un individuo con las necesidades de una organización, John Potts (Jefe de DPO DSAR y apoyo a las violaciones) de GRCI Law, esboza los procesos esenciales que las empresas deben poner en marcha para evitar caer en la violación de DSAR.

Malentendido del GDPR

Mientras que las solicitudes de acceso de los sujetos estaban en vigor bajo la Ley de Protección de Datos de 1998 (DPA), la creciente conciencia de los datos personales ha dado lugar a un aumento significativo de la actividad DSAR – y hay un grado de resentimiento con respecto a la forma en que los individuos están utilizando ahora estos nuevos derechos de datos. Sin embargo, el hecho de que una empresa considere que la DSAR está justificada es, en general, irrelevante: es la ley. Las empresas tienen la obligación legal de cumplir con un DSAR en el plazo de un mes, o se enfrentan a la ira de la Oficina del Comisario de Información (ICO), y a una posible acción de aplicación que podría significar una multa, que siempre tendrá un impacto en la reputación de la organización.

Este plazo se aplica a cualquier DSAR, tanto si se crea interna como externamente. De hecho, una parte importante del aumento de los DSAR es en apoyo de las quejas de los empleados y los tribunales. Muchos abogados laboralistas suelen presentar ahora un DSAR para el periodo o periodos pertinentes, como parte de cualquier caso, tanto si se trata de un empleado que lucha contra el despido como si presenta una queja contra un colega. Por lo tanto, las empresas deben reconocer que en estos casos estas personas saben exactamente qué información debe incluir el DSAR, ya sea un rastro de correo electrónico o notas de reuniones. No caiga en la trampa de pasar por alto el DSAR simplemente porque está en marcha un tribunal: debe existir el proceso adecuado para responder a cada DSAR, independientemente de quién lo solicite o por qué.

Por lo tanto, es esencial establecer un proceso para reconocer inmediatamente un DSAR. Los particulares pueden hacer peticiones por cualquier medio, desde Twitter hasta el correo electrónico y la carta. Si no se responde en el plazo previsto, por la razón que sea, el particular puede presentar una queja ante la OIC, que se encargará de investigarla. Además de asegurarse de que los DSAR no se pasen por alto por ningún motivo, una empresa también necesita un proceso de escalado sin problemas y al menos una persona formada para responder a los DSAR.

Exenciones y datos de terceros

Aunque la mayoría de los DSAR son sencillos, las organizaciones se enfrentarán a algunos que plantean dudas. El tratamiento de los datos de terceros, por ejemplo, puede ser un campo de minas. Muchas empresas creen que se trata simplemente de revisar todos los datos relevantes y redactar cualquier nombre que no sea el de la persona que ha hecho la solicitud. Pero no es así.

Por ejemplo, si diez personas estaban en una reunión y una de ellas presenta una solicitud de información, no tiene sentido redactar los nombres de las otras nueve personas, ya que todo el mundo sabe que estaban en la reunión. Sin embargo, este enfoque no puede aplicarse, por ejemplo, a los registros de CCTV. Una persona puede aceptar la existencia de un circuito cerrado de televisión en un club nocturno, pero eso no supone un acuerdo implícito de que su presencia pueda ser compartida en una respuesta a un DSAR de alguien. O, por ejemplo, en una sala de custodia policial: aunque se redacten los rostros, las conversaciones de fondo podrían infringir los derechos individuales. Cuando se trata de datos de terceros, los DSAR tendrán que ser considerados caso por caso, no hay una respuesta general.

Además, hay una serie de exenciones que pueden aplicarse a los DSAR, incluido el privilegio profesional legal (LPP) para la información intercambiada entre un individuo y su representante legal, así como la información relacionada con las finanzas de la empresa o la seguridad nacional. La OIC estudiará cada exención caso por caso, por lo que es esencial asegurarse de que cada DSAR esté anotado con la exención correspondiente.

Conclusión

La falta de respuesta rápida a un DSAR no va a incurrir automáticamente en las enormes multas asociadas al robo de datos. Sin embargo, sigue siendo una infracción del GDPR y la ICO no va a ser fácil para las organizaciones que no pongan en marcha los procesos adecuados. Los DSAR se están convirtiendo en un hecho de la vida de todas las organizaciones; los individuos conocen sus derechos y, como revela el aumento de los DSAR inspirados en las quejas de los empleados, están buscando activamente utilizar la nueva legislación para apoyar su causa.

Para cualquier organización, el proceso es clave: controle todos los canales de comunicación entrantes para los DSAR y escale rápidamente, el reloj comienza cuando la empresa recibe la solicitud. Ponga en marcha un buen apoyo profesional para cualquier caso complejo que pueda requerir una exención o una redacción. Y, sobre todo, piense bien en las estrategias de retención de datos. El objetivo del RGPD es hacer que las empresas consideren sus recursos de datos y se alejen del almacenamiento de datos porque sí. Sólo hay que retener los datos que sean relevantes y que tengan una razón legal para su tratamiento, y poner en marcha una política de retención con métodos sólidos para el registro, la extracción y la redacción si es necesario.