¿Cómo aplicar los derechos del interesado establecidos en el nuevo Reglamento europeo GDPR?


Josep M Merenciano     16/02/2017


 

Aplicar los derechos del interesado

 
Al igual que la Seguridad, los derechos del interesado también deben estar presentes en el diseño del tratamiento desde sus inicios, y eso no es una opción.

El consentimiento debe ser inequívoco, y resultado de una acción por parte del interesado. La información sobre este consentimiento debe ser clara, precisa y en un lenguaje llano. En cualquier momento, y de manera simple y fácil, el interesado debe poder acceder a la información del consentimiento, y revocarla si quiere.

Los derechos del interesado también deben estar bien informados: de manera clara, comprensible y de fácil acceso. Entre estos derechos debe figurar claramente el derecho a reclamación ante la Autoridad de control.

El responsable del tratamiento (RT) debe asegurarse de que los encargados del tratamiento cumplen con las garantías suficientes. Para ello hay que definir una política de seguridad y suscribir los contratos pertinentes.

Hay que informar claramente los destinatarios de los datos; y explicitar que no es su caso.

Los destinatarios están sujetos a los derechos de rectificación, supresión y limitación del tratamiento.

Para las transferencias internacionales, el RT debería limitarse a países u organizaciones que dispongan de recursos legales para poder ejercer los derechos de los interesados.

Hasta aquí los procedimientos internos que aseguran que estamos en disposición de cumplir con los derechos de los interesados. Ahora hay que definir el protocolo para que los interesados ??puedan ejercer. Este protocolo es la política de información. Hay que definir cómo se reciben las peticiones, y cómo se procesan.

El RT debe llevar un registro de peticiones, con la fecha de la solicitud, los archivos afectados y qué medidas se han tomado, entre otras informaciones. Evidentemente, sin embargo, sólo se pueden aceptar peticiones donde quien las hace es realmente interesado, y por tanto hay que definir un mecanismo de identificación de éste.

Una vez admitida la petición se debe responder antes de un mes. En caso de que consideramos que la solicitud no se ajusta al derecho, habrá que responder igualmente indicando los motivos por los que no la tramitamos, así como también se informará de la posibilidad de presentar una reclamación a la Autoridad de control.

La ejecución de la petición en los ficheros debe hacerse lo antes posible (de manera inmediata!).
 


Josep M Merenciano
Departament de Ciències de la Computació
Escola Politècnica Superior d'Enginyeria de Vilanova i la Geltrú (EPSVEG)
Universitat Politècnica de Catalunya