CIBERSEGURIDAD

Desmitificando las solicitudes de acceso a los sujetos de datos.

Un año después de la introducción del Reglamento General de Protección de Datos (GDPR) y se está volviendo claro que cuando se trata de Solicitudes de Acceso de Interesados ​​(DSAR), las organizaciones están confundidas con respecto al deseo de equilibrar los derechos de un individuo con las Una organización, John Potts (Jefe de DPO DSAR y Breach Support) Ley GRCI, describe los procesos esenciales que las empresas deben implementar para evitar caer en una infracción de DSAR.

Malentendido del RGPD

Si bien las solicitudes de acceso de sujetos estaban vigentes bajo la Ley de Protección de Datos de 1998 (DPA), la creciente conciencia de los datos personales ha resultado en un aumento significativo en la actividad de DSAR, y existe un grado de resentimiento con respecto a la forma en que las personas ahora usan estos nuevos derechos de datos. Sin embargo, si una empresa siente que el DSAR está justificado es en lo principal irrelevante: es la ley. Las empresas tienen el requisito legal de cumplir con un DSAR dentro de un mes, o enfrentar la ira de la Oficina del Comisionado de Información (ICO), y una posible acción de cumplimiento que podría significar una multa, siempre tendrá un impacto en la reputación de la organización.

Este plazo se aplica a cualquier DSAR, ya sea que se cree interna o externamente. De hecho, una proporción significativa del aumento de los DSAR se debe a las quejas de los empleados y a los tribunales. Muchos abogados laborales ahora normalmente presentarán un DSAR para los períodos relevantes, como parte de cualquier caso, ya sea un empleado que lucha contra el despido o que presenta una queja contra un colega. Por lo tanto, las empresas deben reconocer que, en tales casos, estas personas saben exactamente qué información debe incluir el DSAR, ya sea un rastro de correo electrónico o notas de reuniones. No caiga en la trampa de pasar por alto la DSAR simplemente porque un tribunal está en marcha: debe existir el proceso correcto para responder a cada DSAR independientemente de quién hace la solicitud o por qué.

Como tal, es esencial implementar un proceso para reconocer inmediatamente una DSAR. Las personas pueden realizar solicitudes a través de cualquier medio, desde Twitter hasta correos electrónicos y cartas. Si no responde dentro del plazo, por cualquier motivo, la persona puede presentar una queja ante la ICO, que luego investigará. Además de garantizar que los DSAR no se pasen por alto por ningún motivo, una empresa también necesita un proceso de escalado sin problemas y al menos una persona capacitada para responder al DSAR.

Exenciones y datos de terceros

Si bien la mayoría de los DSAR son simples, las organizaciones se enfrentarán a algunos que plantean preguntas. La forma en que se manejan los datos de terceros, por ejemplo, puede ser un campo minado. Muchas empresas creen que se trata simplemente de revisar todos los datos relevantes y eliminar cualquier nombre que no sea el de la persona que ha realizado la solicitud. Ese no es el caso.

Por ejemplo, si diez personas estaban en una reunión y una de ellas hace un DSAR, no tiene sentido editar los nombres de esas otras nueve personas: todos saben que estuvieron en la reunión. Sin embargo, este enfoque no se puede aplicar a los registros de CCTV, por ejemplo. Un individuo puede aceptar la existencia de CCTV en un club nocturno, pero eso no implica un acuerdo implícito de que su presencia pueda ser compartida en respuesta al DSAR de alguien. O tome una suite de custodia policial: incluso si los rostros están censurados, las conversaciones de fondo podrían infringir los derechos individuales. Cuando se trata de datos de terceros, las DSAR deberán considerarse caso por caso, no hay una respuesta general.

Además, hay una serie de exenciones que se pueden aplicar a DSAR, incluido el privilegio profesional legal (LPP) para la información intercambiada entre un individuo y un representante legal, así como información relacionada con las finanzas de la empresa o la seguridad nacional. La ICO analizará cada exención caso por caso y, por lo tanto, es esencial asegurarse de que cada DSAR esté anotado con la exención correspondiente.

Conclusión

Si no responde rápidamente a un DSAR, no se incurrirá automáticamente en las enormes multas asociadas con el robo de datos. Sin embargo, sigue siendo una infracción del RGPD y la ICO no va a ser fácil con las organizaciones que no implementan los procesos correctos. Los DSAR se están convirtiendo en una realidad para todas las organizaciones; Las personas conocen sus derechos y, como revela el aumento de las denuncias de los empleados inspiradas en las DSAR, están buscando activamente utilizar la nueva legislación para apoyar su causa.

Para cualquier organización, el proceso es clave: monitorear todos los canales de comunicación entrantes para DSAR y escalar rápidamente, el reloj comienza cuando la empresa recibe la solicitud. Ponga en marcha un buen apoyo profesional para cualquier caso complejo que pueda requerir una exención o redacción. Y, críticamente, piense detenidamente sobre las estrategias de retención de datos. El objetivo general de GDPR es hacer que las empresas consideren sus recursos de datos y se alejen de almacenar datos por el simple hecho de hacerlo. Solo conserve los datos que sean relevantes y tenga una razón legal para el procesamiento, establezca una política de retención con métodos sólidos para registrar, extraer y redactar si es necesario.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar
Cerrar