NYMITY GLOBAL    |    LOGIN CLIENTES   Login    |    CONTACTO    |    PRUEBA GRATUITA

CATEGORÍA DE GESTIÓN DE DATOS

9. Responda a las peticiones y quejas de los individuos

Mantenga procedimientos efectivos para interactuar con los titulares respecto de su información personal

CATEGORÍA DE GESTIÓN DE DATOS:

9. Responda a las peticiones y quejas de los individuos

Mantenga procedimientos efectivos para interactuar con los titulares respecto de su información personal

Este proceso de gestión de datos es parte del Marco Nymity de Gobernanza en Privacidad y Protección de Datos. Haga clic en una de las Actividades de Gestión de Información que se encuentran en la parte de abajo y encuentre más información sobre el alcance, los recursos disponibles y otros detalles.

Mantenga procedimientos para dar respuesta a las peticiones, quejas y reclamos

La organización tiene procedimientos establecidos para que las unidades operativas:

  • Reconozcan las peticiones, quejas y reclamos relacionados con problemas de protección de datos;
  • Manejen denuncias simples y envíen su resultado al área de protección de datos, y
  • Remitan las denuncias importantes al área de protección de datos cuando sea apropiado.

Mantenga procedimientos para dar respuesta a las solicitudes de acceso a datos personales

La organización tiene procesos para responder a las solicitudes de los individuos de acceso a los datos personales que la organización almacena y mantiene sobre ellos, que garantizan que la petición fue contestada totalmente y en cumplimiento con los requisitos legales sobre tiempo y contenido de una respuesta. Los procedimientos incluyen la verificación de que el individuo que ejerce el derecho de acceso tiene la facultad legal para hacerlo (por ejemplo, el titular de los datos, su representante legal, el padre de un menor, o un heredero o un beneficiario legal de un descendiente).

Fuera de alcance están las peticiones para corregir o actualizar los datos personales posteriores a un estudio de los datos personales almacenados por la organización.

Mantenga procedimientos para responder solicitudes o para proveer mecanismos para que los individuos actualicen o corrijan sus datos personales

Cuando un individuo considera que sus datos personales deben ser corregidos, rectificados o actualizados por cuestiones de exactitud o por considerar que se encuentran incompletos y ha hecho una solicitud a la organización para realizar dicha corrección o actualización, el Área de Protección de Datos debe tener procedimientos para:

  • Analizar la necesidad de la actualización o revisión;
  • Realizar cualquier cambio según proceda; e
  • Informar al individuo sobre la acción que se ha tomado.
En algunos casos, dependiendo de la naturaleza de los datos personales, es posible que la organización ponga en marcha mecanismos que permitan al individuo actualizar sus datos personales por sí mismo, sin la necesidad de involucrar personal de la organización. Por ejemplo, la organización puede mantener un sitio web en el cual el individuo pueda ingresar para revisar su perfil o la información de su cuenta y actualizar la información que sea necesaria (p.ej. cambio de domicilio).

Mantenga procedimientos para contestar solicitudes de eliminación de información (opt-out) o para restringir u objetar el tratamiento

La organización tiene procedimientos existentes para:

  • Aceptar las peticiones hechas por los individuos:
    • Solicitar la eliminación (opt-out) del uso de datos personales;
    • Restringir el uso de sus datos personales en ciertos tratamientos; o
    • Cesar o bloquear el uso de sus datos personales.
  • Tratar las peticiones a su debido tiempo; y
  • Garantizar que las opciones escogidas por los titulares son respetadas de manera consistente.
Permitir que los titulares ejerciten la opción de ser eliminados (opt-out) refleja el elemento de “escogencia” del consentimiento, al darles una manera de revocar el permiso para utilizar sus datos personales. Como parte del proceso de eliminación (opt-out), los titulares deben recibir información sobre el impacto que dicha decisión pueda tener, puesto que algunos productos o servicios pueden no estar disponibles como resultado de esta eliminación.

Los mecanismos para ser eliminado (opt-out) de ciertas actividades de la organización pueden ser presentados como parte del aviso de privacidad o ser proporcionados cuando la organización utilice posteriormente los datos personales, ej., en la parte inferior de una comunicación de marketing. La organización puede hacer seguimiento y documentar las mediciones sobre el uso de sus mecanismos de eliminación (opt-out) para saber la eficacia de los diversos mecanismos (ej., en línea vs. vía telefónica).

Mantenga procedimientos para responder las solicitudes de información

Para atender las peticiones de los titulares de la información, la organización tiene los procedimientos existentes para proporcionar información sobre sus prácticas de manejo de datos, incluyendo las decisiones tomadas con base en el tratamiento automatizado, con el fin de ofrecer una mayor apertura y transparencia sobre dichas prácticas. Esta contestación responde a la petición de un individuo y complementa las divulgaciones más proactivas de la organización sobre prácticas de manejo de datos en el aviso de protección de datos (véase el Proceso de Gestión de Datos No. 8).

Mantenga procedimientos para responder las solicitudes sobre portabilidad de datos

El derecho a la portabilidad de datos va más allá del derecho tradicional del individuo a acceder a sus datos personales ya que ahora se le otorga el derecho a obtener los datos en un formato con el que puedan ser transmitidos a través de medios electrónicos o simplemente ser copiados por el titular de los datos sin limitación alguna, es decir, a obtener una versión legible de sus datos personales. Con el propósito de cumplir con lo anterior, las organizaciones que almacenan datos personales en formato electrónico requerirán de mecanismos para la exportación e importación de datos desde sus sistemas, así como procesos (no automatizados) para dar respuesta a los requerimientos de portabilidad por parte de los titulares de los datos.

Mantenga procedimientos para responder las solicitudes relacionadas con derecho al olvido o borrado de datos

El derecho al olvido se basa en la noción de la ley de protección de datos europea que establece que todos los individuos tienen el derecho de oponerse al tratamiento de sus datos y llevan esta noción un nivel más allá, al establecer que los individuos no solo pueden oponerse al tratamiento de sus datos sino a demandar que los responsables de los datos borren u “olviden” los datos que tengan en su posesión sobre ellos. Inicialmente, el derecho al olvido fue analizado en el contexto de los menores de edad, quienes podrían publicar datos personales en línea sin ser conscientes de las consecuencias potenciales que esto podría tener en sus solicitudes de admisión futuras a colegios/universidades, en su permanencia laboral o hasta la oportunidad de sufrir actos de acoso cibernético (cyberbullying).  En virtud de que este criterio se ha extendido para proteger a todos los individuos, los políticos, celebridades y delincuentes reformados tienen un interés directo en que aspectos de su pasado sean “olvidados”.  

El Tribunal de Justicia Europeo reforzó el derecho al olvido al dictar la Resolución No. C-131/12 Google España v. Agencia Española de Protección de Datos, en la cual concluyó que Google España tenía que des-indexar ciertos resultados que aparecían al realizar una búsqueda con el nombre del titular de los datos personales, en virtud de la falta de relevancia. A partir del caso de Google España, muchas otras jurisdicciones (p.ej. EE.UU, Argentina, Hong Kong, Francia) han abordado casos relacionados con este derecho, con discrepancias en cuestiones como quién debe implementar este derecho (el motor de búsqueda o la entidad original que tiene el contenido disponible en línea). Aún más, algunos países buscan elevar a ley este derecho en sus leyes de protección de datos personales (p.ej. EE.UU, Rusia, Brasil). 

La organización tiene que poner en marcha procedimientos para dar respuesta a solicitudes de olvido, equilibrando la solicitud con otros derechos fundamentales, tales como el derecho de acceso a la información y libertad de expresión.

Mantenga preguntas y respuestas frecuentes para responder las inquietudes de los individuos

El área de protección de datos guarda las preguntas frecuentes realizadas por los individuos, alineándose con la política de protección de datos de la organización y las utiliza para una variedad de propósitos incluyendo pero no exclusivamente: 

  • Apoyar el aviso de privacidad; y
  • Capacitación de los empleados.
Fuera de alcance de esta actividad de gestión de información están las preguntas complejas de los clientes, preocupaciones o solicitudes que requieren una atención y respuesta a profundidad del área de protección de datos, cumplimiento, marketing y/o departamentos jurídicos.

Investigue las razones de fondo de las quejas de protección de datos

Resolver las quejas de protección de datos a un nivel individual puede satisfacer a ese individuo particular, pero deja espacio a más quejas sobre la misma práctica. El área de protección de datos debe tener procedimientos para:

  • Investigar las causas subyacentes que dan lugar a las quejas;
  • Publicar recomendaciones sobre cómo mejorar las prácticas para evitar quejas adicionales; y
  • Asegurar la puesta en práctica de las recomendaciones.

Monitoree y reporte las mediciones de las quejas de protección de datos (ej. número, razones de fondo)

La organización monitorea documentos e informes relacionados con denuncias sobre protección de datos con el fin de: 

  • medir la efectividad del área de protección de datos para resolver denuncias;
  • determinar el costo de resolver denuncias sobre protección de datos; y
  • analizar las mediciones sobre los tipos de denuncias para determinar prácticas empresariales que despiertan inquietudes sobre protección de datos.
Fuera del alcance de esta actividad de gestión de información está el reportar las mediciones sobre incidentes de protección de datos.

Marco Nymity de Gobernanza en Privacidad y Protección de Datos

130+ Actividades de Gestión de Información, estructuradas en Categorías de Gestión de Datos

El Marco es un listado completo de más de 130 actividades de gestión de información, neutral en materia de jurisdicciones y de categorías de industria, agrupadas en 13 Categorías de Gestión de Datos. El Marco forma la base para estructurar un programa integral de protección de datos personales en cualquier organización al ser neutral en términos de jurisdicción e industria.

Haga clic aquí para descargar la lista completa de Actividades de Gestión de la Información o para obtener más información del Marco Nymity de Gobernanza en Privacidad y Protección de Datos.

© 2002-2017 Nymity Inc. All Rights Reserved.