El ámbito de aplicación de las leyes de protección de datos se está ampliando, y es hora de preparar a su empresa para responder a las solicitudes de acceso de los interesados (DSAR), que es cuando una persona solicita ejercer sus derechos sobre la información personal que usted recopila de ella.
Establecer un flujo de trabajo DSAR transparente para que su empresa atienda las solicitudes de los consumidores le ayuda a cumplir la legislación aplicable en materia de privacidad de datos y fomenta la confianza de los clientes.
Utilice mi guía paso a paso para elaborar un proceso DSAR fiable, jurídicamente sólido y sencillo para su empresa y sus usuarios.
Flujo de trabajo DSAR paso a paso que su empresa debe seguir
Estos son los diez pasos que recomiendo seguir para garantizar que el flujo de trabajo DSAR de su empresa se desarrolle sin problemas y cumpla todas las obligaciones legales.
Paso 1: Recepción e identificación de un DSAR
El primer paso que los empresarios deben dar al establecer un flujo de trabajo DSAR es elegir cómo quieren que los usuarios envíen sus solicitudes.
Le recomiendo que elija un sistema basado en la forma en que sus usuarios suelen interactuar con su plataforma y en la naturaleza de los datos personales que recopila, sin olvidar la legislación aplicable en materia de privacidad.
Existen múltiples métodos que puede aplicar en su sitio web, entre ellos:
Para ayudar a simplificar este proceso, Termly proporciona a todos los usuarios un formulario DSAR que puede incrustar en su sitio web - vea qué aspecto tiene en la captura de pantalla siguiente.
Algunas leyes exigen que los consumidores dispongan de dos o más vías para presentar sus solicitudes.
También debe responder a los consumidores aunque no sigan los métodos específicos que aplique en su plataforma, ya que las leyes de protección de la intimidad permiten a los particulares presentar DSAR por cualquier método que elijan.
Pero ofrecerles una vía clara para presentar estas solicitudes es más eficaz, y la mayoría de los usuarios seguirán de buen grado el proceso establecido.
Verificación de la identidad del interesado
Una vez que haya elegido los métodos que utilizará para que los consumidores puedan hacer valer sus derechos, también debe establecer un proceso de verificación de las solicitudes de los consumidores para asegurarse de que nunca divulga información personal a una persona autorizada.
Cuando verifique la identidad del consumidor, evite pedirle más información personal a menos que sea necesario, y no le pida que cree una cuenta, ya que algunas leyes lo prohíben.
En su lugar, considera la posibilidad de utilizar un método de autenticación de dos factores y aprovecha los datos preexistentes que ya tienes; por ejemplo, puedes enviar un código a su dirección de correo electrónico o número de teléfono o hacer que seleccionen y respondan correctamente a una pregunta de seguridad.
Comprender el alcance de la solicitud
También debe asegurarse de que la persona o el equipo que responden a sus DSAR comprenden el alcance de la solicitud del consumidor para que puedan responder con precisión.
Los consumidores tienen diferentes derechos y pueden presentar solicitudes de seguimiento de cualquiera de ellos, así que asegúrese de saber cuál es la solicitud o petición concreta y responda a todas las facetas de la misma.
Paso 2: Recopilación de los datos solicitados
El siguiente paso consiste en recopilar los datos solicitados pertinentes para poder responder adecuadamente al consumidor.
Su procedimiento interno debe explicar qué empleados están autorizados a localizar la información, las redes en las que almacena los datos, si están ubicados en varios lugares y si almacena alguna información físicamente.
Recuperación de datos personales
Dependiendo de su sector, pueden ser necesarios distintos permisos antes de que su equipo pueda acceder a la información en nombre del interesado.
Por ejemplo, esto es necesario en virtud de leyes federales estadounidenses como la HIPAA, así que verifique si estas normas afectan a su empresa y añada los detalles apropiados a sus procedimientos DSAR.
También puede considerar la posibilidad de aplicar técnicas de mapeo de datos para facilitar a su equipo la recopilación de esta información.
Datos de terceros
Al recopilar la información, recuerde incluir los datos recogidos por terceros con los que trabaja, especialmente si confía en un procesador de datos externo.
La solicitud del consumidor se aplica a todos los datos recogidos.
La mayoría de las leyes de protección de datos obligan contractualmente a terceros a ayudarle a dar curso a las solicitudes de los consumidores, por lo que debe asegurarse de que sus contratos comerciales reflejen estos requisitos.
Paso 3: Examen de los datos y consideración de la exención
Una vez recopilados los datos solicitados por el consumidor, revise su confidencialidad y sensibilidad para asegurarse de que cumplen sus requisitos internos para aceptar o rechazar DSAR.
Identificación de la información exenta
Algunos datos personales pueden estar exentos de compartirse con el interesado, y debe explicar cómo lo ha determinado su equipo.
Por ejemplo, no puede compartir información con nadie si ello vulnera los derechos de privacidad de datos de otra persona.
Debe rechazar las solicitudes que impidan la intimidad de otra persona y explicárselo claramente al interesado original.
Equilibrio entre transparencia y protección de datos
Al responder a una solicitud de un consumidor, su equipo debe registrar los pasos que da, manteniendo los datos protegidos.
Haga que sus empleados anoten lo siguiente en caso de auditoría reglamentaria:
- La fecha y hora de cada tarea que han completado
- La autorización de las solicitudes
- Las posibles ubicaciones de los datos a los que han accedido
También eres responsable de mantener estos datos a salvo de filtraciones o accesos no autorizados, así que asegúrate de contar con medidas de seguridad para evitarlo.
Paso 4: Comunicación con el interesado
Informe al consumidor de que ha recibido su solicitud y está trabajando en una respuesta enviándole un aviso de verificación.
Información actualizada sobre los progresos
Dependiendo de la legislación aplicable, es posible que esté sujeto a un plazo de 30 o 45 días para responder a los DSAR, así que considere la posibilidad de enviar al usuario información actualizada sobre sus progresos.
Informar al interesado del tiempo que puede llevar el proceso le tranquiliza y responsabiliza a su RPD o equipo de protección de la intimidad del rápido avance del flujo de trabajo del DSAR.
Pedir aclaraciones, si es necesario
Está bien que pida aclaraciones al interesado si es necesario para cumplir una petición o por obligaciones legales.
Por ejemplo, puede que necesite verificar qué derechos están cumpliendo o aclarar si están actuando en nombre de su hijo.
Pero su proceso DSAR debe seguir todas las leyes aplicables, y hay limitaciones sobre lo que puede y no puede preguntar a un sujeto de datos dependiendo de qué legislación se aplica a su negocio.
Paso 5: Procesamiento y compilación de la respuesta
Asegúrese de estar bien organizado a la hora de procesar y compilar su respuesta a un DSAR.
Muchas leyes otorgan a los consumidores el derecho a una copia portátil de su información, lo que significa que debe presentárseles de forma que sea fácil compartirla con otro responsable del tratamiento de datos.
El objetivo de este derecho es evitar que los datos de los usuarios se almacenen en plataformas cerradas, lo que hace que cambiar de cuenta o de servicio sea un gran reto.
Recomiendo aplicar lo siguiente, siempre que sea posible:
- Proporcionar los datos utilizando un tipo de archivo común y accesible
- facilitar al consumidor el acceso a distancia mediante un sistema seguro
- Formatearlo de manera que sea fácil de leer y entender
Cómo ocultar información de terceros
Al cumplimentar los DSAR, es posible que tenga que redactar información relativa a terceros, por lo que debe contar con un proceso para identificar y eliminar este tipo de información.
Por ejemplo, podría redactar:
- Información sobre organizaciones privadas
- Información que queda fuera del ámbito de los datos personales
- Datos de otra persona que no haya presentado la solicitud
Paso 6: Redacción de la respuesta
Cuando redacte una respuesta a un DSAR, utilice un lenguaje directo y fácil de entender, sea minucioso y vuelva a comprobar que está proporcionando todo lo que el consumidor solicitó.
Explicación de las actividades de tratamiento de datos
Sea transparente sobre sus actividades de procesamiento y asegúrese de que todos los que trabajan en su flujo de trabajo DSAR entienden estos protocolos para que puedan elaborar respuestas precisas.
Considere la posibilidad de preparar plantillas que su equipo pueda adaptar y adecuar al tipo de solicitud recibida.
Exenciones y limitaciones
Debe explicar claramente al solicitante si los datos que busca están exentos, si sólo pueden compartirse en cantidades limitadas o si deben denegarse totalmente.
La denegación de un DSAR está permitida en casos muy concretos: en rgpd se puede denegar si es infundado o excesivo.
Explique en sus protocolos de DSAR las causas de denegación de DSAR en función de la legislación aplicable sobre privacidad de datos, para que su equipo sepa cuándo es o no apropiado.
Paso 7: Revisión y garantía de calidad
Una vez redactada la respuesta, revísela internamente para comprobar su exactitud y calidad.
Realizar una revisión interna como parte de su flujo de trabajo general le ayuda a encontrar y corregir errores o fallos legales antes de que se produzcan.
Garantizar la precisión y la conformidad
Antes de enviar una respuesta oficial al interesado, compruebe que todos los datos y detalles personales son correctos y que ha cumplido la legislación aplicable.
Los interesados de distintas regiones tienen derechos diferentes, así que incluya detalles sobre sus derechos en sus protocolos DSAR para asegurarse de que todos los miembros de su equipo los comprenden.
Si comete un error, las leyes de protección de datos exigirán responsabilidades a su empresa.
Aprobación jurídica y del RPD
Si es necesario, pida a su RPD o a su equipo jurídico que revise las respuestas DSAR antes de enviarlas al interesado para que puedan volver a comprobar que todo se ha hecho correctamente y de forma conforme.
Paso 8: Envío de la respuesta DSAR
Antes de enviar su respuesta DSAR, compruebe la legislación aplicable para determinar el formato y los métodos de entrega adecuados.
Por ejemplo, en virtud de la web rgpd, las solicitudes de los interesados presentadas por vía electrónica deben recibir la misma respuesta.
Incluya los métodos de respuesta necesarios como parte de su flujo de trabajo DSAR, para que su equipo comprenda la forma legalmente apropiada de enviar una respuesta a los consumidores.
Entrega y comunicación puntuales
La mayoría de las leyes de protección de datos exigen que se responda a las solicitudes de los interesados sin demoras indebidas o en un plazo de 30 a 45 días desde su recepción.
En virtud de la rgpd, se dispone de 30 días para responder a los DSAR, mientras que en virtud de la CCPA, se dispone de 45 días.
Responder antes siempre es mejor que responder demasiado tarde, momento en el que la ley podría exigir responsabilidades legales.
Paso 9: Tramitación de recursos y otros pasos
Después de responder a un DSAR, debe proporcionar un método sencillo para que los interesados puedan recurrir sus decisiones relativas a sus solicitudes.
Leyes como la VCDPA estipulan que el proceso de apelación debe ser tan sencillo y similar al sistema que utilizó inicialmente para que los consumidores pudieran presentar sus solicitudes.
Dispone de un plazo determinado para responder al recurso, en función de la legislación aplicable a su empresa.
Escalada de casos complejos
Tras responder a un consumidor, puede enfrentarse a solicitudes complejas o recursos complicados.
Por ejemplo, un tutor legal puede ponerse en contacto con usted porque le preocupa que su sitio web o aplicación recopile información sobre su hijo a pesar de que su empresa no se dirija a menores.
Para preparar a su empresa, establezca un proceso para elevar estas peticiones a los canales adecuados, de modo que pueda resolverlas con eficacia.
Mejora continua del proceso DSAR
A medida que reciba más DSAR y pruebe su flujo de trabajo, ajústelo continuamente según sea necesario.
Si descubre lagunas en su política o puntos conflictivos, puede abordarlos y solucionarlos, porque el proceso general de respuesta DSAR depende enteramente de usted.
También debe prestar atención a las nuevas y cambiantes leyes de privacidad de datos que pueden afectar a partes de su proceso DSAR.
Paso 10: Registro y documentación
Mantener registros seguros de sus DSAR y respuestas es esencial a efectos de organización interna y en caso de auditoría de privacidad.
En virtud de la rgpd, debe mantener un registro detallado de sus actividades de tratamiento y ponerlo a disposición de las autoridades reguladoras que lo soliciten, incluidas las respuestas a la DSAR y los recursos.
Según el artículo 31 de la rgpd, se trata de un Registro de Actividades de Tratamiento o RAP.
Independientemente de las obligaciones legales, hacer esto es una buena práctica, ya que puede ayudarle a demostrar el cumplimiento legal si surgen problemas.
Pista de auditoría y rendición de cuentas
Documentar sus comunicaciones con los interesados que presentan DSAR crea una pista de auditoría que puede ayudarle a demostrar que ha cumplido la legislación aplicable si las autoridades reguladoras le cuestionan.
Así que registre todos sus pasos y guarde estos datos en un entorno seguro.
Como ventaja adicional, si el mismo consumidor presenta otro DSAR en el futuro, su equipo podrá responder a su solicitud con mayor rapidez y facilidad.
Resumen de las solicitudes de acceso de los interesados
Ahora que he explicado cómo su empresa puede hacer un proceso DSAR, vamos a cubrir los derechos de privacidad de los usuarios que otorgan las diferentes leyes de privacidad de datos.
Aunque los derechos específicos varían, por lo general, las personas protegidas por estos instrumentos legislativos tienen derecho a solicitar:
- Acceder a los datos personales que ha recopilado sobre ellos y saber para qué los utiliza
- Corregir o modificar sus datos personales
- Borra los datos que has recopilado sobre ellos
- Obtenga una copia portátil de los datos que ha recopilado sobre ellos
- Excluirse de determinados tipos de actividades de tratamiento de datos, como la elaboración de perfiles, la venta de sus datos o la publicidad selectiva.
Las solicitudes de acceso de los interesados han adquirido cada vez más importancia desde la introducción del Reglamento general de protección de datos (rgpd), la influyente ley de protección de datos que protege a las personas en la Unión Europea (UE) y el Espacio Económico Europeo (EEE).
Pero el proceso DSAR puede aplicarse a los usuarios que presenten solicitudes de seguimiento de los derechos que les otorgan estas y otras leyes de privacidad:
- Ley General de Protección de Datos de Brasil
- Ley de Protección de los Consumidores de California(CCPA)
- Ley de Privacidad de Colorado(CPA)
- Ley de Privacidad de Datos de Connecticut(CTDPA)
- Ley de protección de datos de Nueva Zelanda
- Ley de Privacidad de Datos de Oregón(ODPA)
- Suiza Ley Federal de Protección de Datos revisada(LPDP)
- Ley de Privacidad del Consumidor de Utah(UCPA)
- Ley de Protección de Datos de los Consumidores de Virginia(VCDPA)
La importancia de un proceso DSAR para las empresas
Establecer un proceso DSAR adecuado es importante para las empresas porque a menudo se trata de una tarea de varios pasos, y algunas leyes, como la rgpd y la CCPA, establecen plazos específicos para responder y completar las solicitudes de los consumidores.
Además, normalmente no se permite cobrar ninguna tasa en relación con todo el proceso DSAR, por lo que es esencial que su empresa pueda cumplir estos requisitos de forma asequible.
Otras formas de prepararse para un DSAR
A continuación, explicaré otras formas de prepararse para los DSAR de los consumidores.
Nombramiento de un responsable de la protección de datos (RPD)
Para algunas empresas, puede ser necesario nombrar a un responsable de la protección de datos (RPD).
Su RPD ayuda a su empresa a recopilar y procesar datos de forma legalmente conforme y puede responder a los DSAR o supervisar y ayudar a gestionar el proceso, dependiendo del tamaño y alcance de su empresa.
Por ejemplo, las empresas más pequeñas suelen necesitar un único RPD para cumplir las obligaciones legales, mientras que las empresas que procesan grandes cantidades de datos o información muy sensible pueden necesitar un equipo de empleados para ayudar al RPD.
Al elegir un RPD, asegúrese de que esté familiarizado con la legislación sobre privacidad de datos y conozca las operaciones de su empresa por dentro y por fuera.
Evite elegir a alguien con un contrato de corta duración y asegúrese de que no haya conflictos de intereses.
Formación y sensibilización de los empleados
Forme a su personal sobre la privacidad de los datos para aumentar la concienciación de los empleados sobre las mejores prácticas y el proceso DSAR que aplica su empresa.
Asegurarse de que todo su equipo tiene conocimientos sobre privacidad contribuirá a que su proceso DSAR sea más eficiente y eficaz.
Como mínimo, todos los empleados deben recibir formación para reconocer un DSAR y escalarlo según proceda.
Sus empleados también tienen derechos de privacidad de datos en relación con la forma en que usted recopila, utiliza y procesa sus datos, que también debe tener en cuenta a la hora de crear un flujo de trabajo DSAR.
Resumen
En última instancia, la creación de un flujo de trabajo DSAR pone a todo su equipo en la misma página y le ayuda a cumplir la normativa de protección de datos establecida por las leyes pertinentes.
Si infringe alguna de esas leyes, aunque sea por accidente, puede provocar reacciones públicas y multas importantes que se acumulan rápidamente: consulte esta lista de las mayores multas de todos los tiempos en rgpd .
Un proceso DSAR eficaz también demuestra a sus consumidores que su empresa se compromete continuamente a proteger la privacidad de sus datos.
Las estadísticas actuales sobre privacidad de datos sugieren que los consumidores se preocupan más que nunca por lo que ocurre con su información personal en línea.
Demuéstreles que a usted también le importa proteger la integridad de su información aplicando un proceso DSAR coherente y bien estructurado.
Más sobre el autor
Escrito por James Ó Nuanáin, CIPP/E, CIPM, CIPT
James es un profesional de la privacidad de la información con más de siete años de experiencia ayudando a grandes organizaciones a cumplir sus obligaciones en virtud del RGPD y otras normativas locales sobre privacidad. Le apasiona la privacidad de los datos y la intersección entre el derecho y la tecnología. Más sobre el autor
