Cómo demostrar el cumplimiento del artículo 12 del RGPD

Versión del RGPD del Reino Unido

1. El responsable del tratamiento adoptará las medidas apropiadas para proporcionar al interesado toda la información a que se refieren los artículos 13 y 14 y cualquier comunicación prevista en los artículos 15 a 22 y 34 en relación con el tratamiento de forma concisa, transparente, inteligible y fácilmente accesible, utilizando medios claros y sencillos. lengua, en particular para cualquier información dirigida específicamente a un niño. La información se facilitará por escrito, o por otros medios, incluido, en su caso, por medios electrónicos. Cuando lo solicite el interesado, la información podrá proporcionarse de forma oral, siempre que se acredite por otros medios la identidad del interesado.
2. El responsable del tratamiento facilitará el ejercicio de los derechos del interesado en virtud de los artículos 15 a 22. En los casos a que se refiere el artículo 11, apartado 2, el responsable del tratamiento no se negará a actuar a petición del interesado para ejercer sus derechos en virtud de los artículos 15 a 22, salvo que el responsable del tratamiento demuestre que no está en condiciones de identificar al interesado.
3. El responsable del tratamiento proporcionará al interesado información sobre las medidas adoptadas en respuesta a una solicitud con arreglo a los artículos 15 a 22 sin demora indebida y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá ampliarse dos meses más cuando sea necesario, teniendo en cuenta la complejidad y el número de las solicitudes. El responsable del tratamiento informará al interesado de dicha ampliación en el plazo de un mes a partir de la recepción de la solicitud, junto con los motivos del retraso. . Cuando el interesado realice la solicitud por medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, salvo que el interesado solicite lo contrario.
4. Si el responsable del tratamiento no responde a la solicitud del interesado, informará al interesado sin demora y, a más tardar, en el plazo de un mes a partir de la recepción de la solicitud, de los motivos de la no adopción de medidas y de la posibilidad de presentar una reclamación. denuncia ante una autoridad de control (el Comisionado) y búsqueda de un recurso judicial.
5. La información proporcionada con arreglo a los artículos 13 y 14 y cualquier comunicación y acción adoptada con arreglo a los artículos 15 a 22 y 34 se proporcionarán de forma gratuita. Cuando las solicitudes de un interesado sean manifiestamente infundadas o excesivas, en particular por su carácter repetitivo, el responsable del tratamiento podrá:
• Cobrar una tarifa razonable teniendo en cuenta los costos administrativos de proporcionar la información o comunicación o tomar la acción solicitada; o
• Negarse a actuar según la solicitud.

Corresponderá al responsable del tratamiento la carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud.

6. Sin perjuicio de lo dispuesto en el artículo 11, cuando el responsable del tratamiento tenga dudas razonables sobre la identidad de la persona física que presenta la solicitud a que se refieren los artículos 15 a 21, podrá solicitar que se le proporcione la información adicional necesaria para confirmar la identidad del interesado.
• [6A. El Comisionado podrá publicar (y modificar o retirar)
• (a) Iconos estandarizados para su uso en combinación con la información proporcionada a los interesados ​​en virtud de los artículos 13 y 14;
• (b) Un aviso que indique que otras personas pueden publicar (y modificar o retirar) dichos íconos, siempre que los íconos satisfagan los requisitos especificados en el aviso en cuanto a la información que deben presentar los íconos y los procedimientos para proporcionarlos.
• 6B. El Comisionado no debe publicar íconos o un aviso conforme al párrafo 6A a menos que esté convencido (según corresponda) de que los íconos brindan una descripción general significativa del procesamiento previsto de una manera fácilmente visible, inteligible y claramente legible o que el aviso dará como resultado íconos que lo hagan. .]
7. Si los iconos estandarizados se publican como se describe en el párrafo 6A (y no se retiran), la información que debe proporcionarse a los interesados ​​de conformidad con los artículos 13 y 14 podrá proporcionarse en combinación con los iconos. Cuando los iconos se presenten electrónicamente, serán legibles por máquina.

Comentario técnico

Calidad de la información proporcionada

La información proporcionada por el controlador al principal debe ser:

1. Conciso.
2. Transparente.
3. Inteligible.
4. De fácil acceso.
5. Facilmente entendido.
6. En el formato adecuado.

Facilitar los derechos del interesado

Si bien el RGPD no contiene un conjunto específico de instrucciones relativas a cómo las organizaciones deben proporcionar "mecanismos para solicitar y, si corresponde, obtener, de forma gratuita, en particular, acceso y rectificación o eliminación de datos personales y el ejercicio del derecho al objeto'.

Plazos

La legislación omite cualquier definición precisa de lo que se considera un plazo aceptable para responder a las solicitudes. En cambio, corresponde a las organizaciones actuar lo más rápido posible (o "sin demoras indebidas") en un período de un mes, ampliado a dos meses para solicitudes complejas.

Si una organización no tiene intención de actuar ante una solicitud, entonces se debe informar al interesado de los motivos en el plazo de un mes, junto con información sobre cómo presentar una queja.

Artículo 12 (2) del RGPD UE y cláusula 27701 de ISO 7.3.1

Determinación y cumplimiento de obligaciones con los directores de Pii

Las organizaciones deben documentar sus obligaciones con los principios de PII en tres áreas clave:

1. Legal.
2. Regulador.
3. Negocio.

Las organizaciones deben proporcionar documentación transparente y un punto de contacto designado para los directores de PII, con el fin de facilitar el libre flujo de información y no obstruir de ninguna manera que el director de PII establezca las obligaciones del controlador.

Es importante tener en cuenta que, para garantizar la uniformidad, cualquier medio de contacto proporcionado debe reflejar la forma a través de la cual la organización recopila la PII (por ejemplo, proporcionando una dirección de correo electrónico o una PoC, si los datos se recopilaron por correo electrónico, en lugar de simplemente pedirle a un director que escriba una carta.

Artículos 12 (1) y (7) del RGPD UE y cláusula 27701 de ISO 7.3.3

Proporcionar información a los directores de PII

Las organizaciones deben poder proporcionar información a los directores de PII que identifique al controlador de PII y cómo se procesan los datos.

Las organizaciones deben hacer todo lo posible para asegurarse de utilizar un lenguaje accesible que evite la jerga de la industria y transmita información en términos sencillos que sean fáciles de entender (consulte la cláusula 27702 de ISO 7.3.2).

Respaldo de cláusulas ISO 27701

• ISO 27701 7.3.2

Artículos 12 (3), (4), (5), (6) del RGPD UE e ISO 27701, cláusula 7.3.9

Las solicitudes de los directores de PII deben regirse por procesos y controles que sean ampliamente comprendidos en toda la organización y atender los detalles específicos de cualquier requisito legislativo o regulatorio, incluidos tiempos de respuesta adecuados.

Las solicitudes pueden incluir:

1. Copias de datos.
2. Quejas.
3. Aclaraciones procesales.

Las organizaciones están legalmente autorizadas a cobrar una tarifa de gestión, pero esto normalmente sólo se aplica a solicitudes de datos repetitivas o excesivas.

Controles compatibles con ISO 27701

Cómo ayuda ISMS.online

ROPA es fácil

Hacemos que el mapeo de datos sea una tarea sencilla. Es fácil registrarlo y revisarlo todo, agregando los detalles de su organización a nuestra herramienta dinámica preconfigurada Registros de actividad de procesamiento.

Plantillas de evaluación

Proporcionamos plantillas fáciles de usar para registrar evaluaciones de privacidad e intereses legítimos.

Un espacio seguro para la RRD

Deberá demostrar qué tan bien gestiona las solicitudes de derechos de los interesados ​​(DRR). Nuestro espacio seguro de RRD lo mantiene todo en un solo lugar, respaldándolo con informes e información automatizados.

Gestión de infracciones

Si sucede lo peor, estarás preparado. Hacemos que sea fácil planificar y comunicar su flujo de trabajo de incumplimiento, y documentar y aprender de cada incidente.

Descubre más por reservar una demostración.