Gestión del Derecho de Acceso (RGPD)
El derecho a la protección de datos nos permite tomar acción y decidir quién, cómo, para qué, durante cuánto tiempo, etc. trata nuestros datos, con ciertos límites, claro. Ahora bien, para poder ejercer nuestra capacidad de decisión, primero debemos saber que habrá un tratamiento de datos, o si ya lo hay, más información sobre el mismo. En este segundo escenario entra en juego el “derecho de acceso del interesado” a, como dice el considerando 63 RGPD, “…a acceder a los datos personales recogidos que le conciernan y a ejercer dicho derecho con facilidad y a intervalos razonables, con el fin de conocer y verificar la licitud del tratamiento…”
Cierto es que no son pocas las reticencias que hay a la hora de dar acceso al interesado a su información. Saltan dudas sobre la tipología de datos a facilitar, el medio, el soporte, los documentos que los almacenan, o incluso el límite que hay que dibujar cuando estos datos están asociados a los de terceras personas. Pero casi todas esas dudas se disipan en cuanto vemos el literal del RGPD, o las guías de la Agencia Española de Protección de Datos o de otras autoridades de protección de datos de España y Europa.
El derecho de acceso es una herramienta básica para ejercer el derecho a la protección de datos del individuo, pero tiene como límites generales aquellos mismos de aplicación del RPGD, y en particular, cuando asociados a los datos del interesado, hay datos de terceras.
La gestión de un derecho de acceso debe realizarse de forma diligente, y para ello es necesario tener definido un protocolo que permita saber (a) quién puede acceder (solo el interesado o su representante, y para ello hay que identificarle inequívocamente), (b) a qué datos se le da acceso (a los datos personales que le conciernan sobre sí mismo), (c) en qué soporte se permitirá (puede ser físico u online, de entrega de datos, o de acceso y visualización, de envío telemático o físico, con acceso remoto, etc.), otras informaciones relacionadas al tratamiento que se deban informar (“…los fines para los que se tratan los datos personales, su plazo de tratamiento, sus destinatarios, la lógica implícita en todo tratamiento automático de datos personales…” entre otros), y finalmente, qué no se le debe/puede facilitar (datos de terceras personas; copia de documentación donde está los datos*), entre otras.
El protocolo debe ser conocido por todos los miembros de la organización, y en particular por aquellos que tienen relación con los interesados; debe mantenerse actualizado y contar con los formularios de ejercicio de derechos, modelos de contestación, e incluso calendarios de respuesta para cumplir con los plazos establecidos en la normativa.
Si no se gestiona en tiempo un ejercicio de derecho de acceso (máximo 30 días desde su solicitud) y en forma, es posible enfrentarse a situaciones comprometedoras con la Autoridad de Control, pero sobre todo, ante una posible pérdida de buena imagen y de clientes.
Por lo anterior, la buena práctica recomendada de este mes es contar con un buen protocolo de gestión de derechos de la protección de datos, y en particular garantizar la información que el principio de transparencia del RGPD exige en cada momento que se facilite al interesado, para que este sienta que respetamos sus derechos, y que le ofrecemos las garantías que necesita para contar con nosotros de forma indefinida.
Team Leader ITSM4Privacidad