Cómo demostrar el cumplimiento del artículo 12 del RGPD

El cumplimiento del artículo 12 del RGPD enfatiza el requisito de una comunicación clara, transparente y de fácil acceso entre los responsables del tratamiento de datos y los interesados, garantizando que las personas comprendan cómo se procesan sus datos personales y sus derechos bajo el RGPD.

Solicite una demo
Autor
Max Edwards
Actualizado el 5 de marzo de 2025
LinkedIn Twitter Twitter

Comprender el artículo 12 del RGPD: Transparencia y derechos de los interesados

GDPR El artículo 12 se centra en cómo los controladores de datos se comunican con los interesados, tanto en términos de cómo comunican sus procesos internos, cómo facilitan el flujo de información y cómo atienden los derechos del sujeto.

RGPD Artículo 12 Texto Legal

Versión del RGPD de la UE

Información, comunicación y modalidades transparentes para el ejercicio de los derechos del interesado

  1. El responsable del tratamiento adoptará las medidas apropiadas para proporcionar al interesado toda la información a que se refieren los artículos 13 y 14 y cualquier comunicación prevista en los artículos 15 a 22 y 34 en relación con el tratamiento de forma concisa, transparente, inteligible y fácilmente accesible, utilizando medios claros y sencillos. lengua, en particular para cualquier información dirigida específicamente a un niño. La información se facilitará por escrito, o por otros medios, incluido, en su caso, por medios electrónicos. Cuando lo solicite el interesado, la información podrá proporcionarse de forma oral, siempre que se acredite por otros medios la identidad del interesado.
  2. El responsable del tratamiento facilitará el ejercicio de los derechos del interesado en virtud de los artículos 15 a 22. En los casos a que se refiere el artículo 11, apartado 2, el responsable del tratamiento no se negará a actuar a petición del interesado para ejercer sus derechos en virtud de los artículos 15 a 22, salvo que el responsable del tratamiento demuestre que no está en condiciones de identificar al interesado.
  3. El responsable del tratamiento proporcionará al interesado información sobre las medidas adoptadas en respuesta a una solicitud con arreglo a los artículos 15 a 22 sin demora indebida y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá ampliarse dos meses más cuando sea necesario, teniendo en cuenta la complejidad y el número de las solicitudes. El responsable del tratamiento informará al interesado de dicha prórroga en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos del retraso. Cuando el interesado realice la solicitud por medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, salvo que el interesado solicite lo contrario.
  4. Si el responsable del tratamiento no responde a la solicitud del interesado, informará al interesado sin demora y, a más tardar, en el plazo de un mes a partir de la recepción de la solicitud, de los motivos de la no adopción de medidas y de la posibilidad de presentar una reclamación. presentar una reclamación ante una autoridad de control y buscar un recurso judicial.
  5. La información proporcionada con arreglo a los artículos 13 y 14 y cualquier comunicación y acción adoptada con arreglo a los artículos 15 a 22 y 34 se proporcionarán de forma gratuita. Cuando las solicitudes de un interesado sean manifiestamente infundadas o excesivas, en particular por su carácter repetitivo, el responsable del tratamiento podrá:

    • Cobrar una tarifa razonable teniendo en cuenta los costos administrativos de proporcionar la información o comunicación o tomar la acción solicitada; o
    • Negarse a actuar según la solicitud.

    Corresponderá al responsable del tratamiento la carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud.

  6. Sin perjuicio de lo dispuesto en el artículo 11, cuando el responsable del tratamiento tenga dudas razonables sobre la identidad de la persona física que presenta la solicitud a que se refieren los artículos 15 a 21, podrá solicitar que se le proporcione la información adicional necesaria para confirmar la identidad del interesado.
  7. La información que debe facilitarse a los interesados ​​de conformidad con los artículos 13 y 14 podrá facilitarse en combinación con iconos normalizados para ofrecer de forma fácilmente visible, inteligible y claramente legible una visión general significativa del tratamiento previsto. Cuando los iconos se presenten electrónicamente, serán legibles por máquina.
  8. La Comisión estará facultada para adoptar actos delegados de conformidad con el artículo 92 con el fin de determinar la información que deben presentar los iconos y los procedimientos para proporcionar iconos normalizados.


Gestione todo su cumplimiento en un solo lugar

ISMS.online admite más de 100 estándares
y regulaciones, brindándole una única
plataforma para todas sus necesidades de cumplimiento.

Solicite una demo


Versión del RGPD del Reino Unido

  1. El responsable del tratamiento adoptará las medidas apropiadas para proporcionar al interesado toda la información a que se refieren los artículos 13 y 14 y cualquier comunicación prevista en los artículos 15 a 22 y 34 en relación con el tratamiento de forma concisa, transparente, inteligible y fácilmente accesible, utilizando medios claros y sencillos. lengua, en particular para cualquier información dirigida específicamente a un niño. La información se facilitará por escrito, o por otros medios, incluido, en su caso, por medios electrónicos. Cuando lo solicite el interesado, la información podrá proporcionarse de forma oral, siempre que se acredite por otros medios la identidad del interesado.
  2. El responsable del tratamiento facilitará el ejercicio de los derechos del interesado en virtud de los artículos 15 a 22. En los casos a que se refiere el artículo 11, apartado 2, el responsable del tratamiento no se negará a actuar a petición del interesado para ejercer sus derechos en virtud de los artículos 15 a 22, salvo que el responsable del tratamiento demuestre que no está en condiciones de identificar al interesado.
  3. El responsable del tratamiento proporcionará al interesado información sobre las medidas adoptadas en respuesta a una solicitud con arreglo a los artículos 15 a 22 sin demora indebida y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá ampliarse dos meses más cuando sea necesario, teniendo en cuenta la complejidad y el número de las solicitudes. El responsable del tratamiento informará al interesado de dicha ampliación en el plazo de un mes a partir de la recepción de la solicitud, junto con los motivos del retraso. . Cuando el interesado realice la solicitud por medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, salvo que el interesado solicite lo contrario.
  4. Si el responsable del tratamiento no responde a la solicitud del interesado, informará al interesado sin demora y, a más tardar, en el plazo de un mes a partir de la recepción de la solicitud, de los motivos de la no adopción de medidas y de la posibilidad de presentar una reclamación. denuncia ante una autoridad de control (el Comisionado) y búsqueda de un recurso judicial.
  5. La información proporcionada con arreglo a los artículos 13 y 14 y cualquier comunicación y acción adoptada con arreglo a los artículos 15 a 22 y 34 se proporcionarán de forma gratuita. Cuando las solicitudes de un interesado sean manifiestamente infundadas o excesivas, en particular por su carácter repetitivo, el responsable del tratamiento podrá:

    • Cobrar una tarifa razonable teniendo en cuenta los costos administrativos de proporcionar la información o comunicación o tomar la acción solicitada; o
    • Negarse a actuar según la solicitud.

    Corresponderá al responsable del tratamiento la carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud.

  6. Sin perjuicio de lo dispuesto en el artículo 11, cuando el responsable del tratamiento tenga dudas razonables sobre la identidad de la persona física que presenta la solicitud a que se refieren los artículos 15 a 21, podrá solicitar que se le proporcione la información adicional necesaria para confirmar la identidad del interesado.

    • [6A. El Comisionado podrá publicar (y modificar o retirar)
    • (a) Iconos estandarizados para su uso en combinación con la información proporcionada a los interesados ​​en virtud de los artículos 13 y 14;
    • (b) Un aviso que indique que otras personas pueden publicar (y modificar o retirar) dichos íconos, siempre que los íconos satisfagan los requisitos especificados en el aviso en cuanto a la información que deben presentar los íconos y los procedimientos para proporcionarlos.
    • 6B. El Comisionado no debe publicar íconos o un aviso conforme al párrafo 6A a menos que esté convencido (según corresponda) de que los íconos brindan una descripción general significativa del procesamiento previsto de una manera fácilmente visible, inteligible y claramente legible o que el aviso dará como resultado íconos que lo hagan. .]
  7. Si los iconos estandarizados se publican como se describe en el párrafo 6A (y no se retiran), la información que debe proporcionarse a los interesados ​​de conformidad con los artículos 13 y 14 podrá proporcionarse en combinación con los iconos. Cuando los iconos se presenten electrónicamente, serán legibles por máquina.

Comentario técnico

Calidad de la información proporcionada

La información proporcionada por el controlador al principal debe ser:

  1. Conciso.
  2. Transparente.
  3. Inteligible.
  4. De fácil acceso.
  5. Facilmente entendido.
  6. En el formato adecuado.

Facilitar los derechos del interesado

Si bien el RGPD no contiene un conjunto específico de instrucciones relativas a cómo las organizaciones deben proporcionar "mecanismos para solicitar y, si corresponde, obtener, de forma gratuita, en particular, acceso y rectificación o eliminación de datos personales y el ejercicio del derecho al objeto'.

Plazos

La legislación omite cualquier definición precisa de lo que se considera un plazo aceptable para responder a las solicitudes. En cambio, corresponde a las organizaciones actuar lo más rápido posible (o "sin demoras indebidas") en un período de un mes, ampliado a dos meses para solicitudes complejas.

Si una organización no tiene intención de actuar ante una solicitud, entonces se debe informar al interesado de los motivos en el plazo de un mes, junto con información sobre cómo presentar una queja.

Artículo 12 (2) del RGPD UE y cláusula 27701 de ISO 7.3.1

Determinación y cumplimiento de obligaciones con los directores de Pii

Las organizaciones deben documentar sus obligaciones con los principios de PII en tres áreas clave:

  1. Legal.
  2. Regulador.
  3. Negocio.

Las organizaciones deben proporcionar documentación transparente y un punto de contacto designado para los directores de PII, con el fin de facilitar el libre flujo de información y no obstruir de ninguna manera que el director de PII establezca las obligaciones del controlador.

Es importante tener en cuenta que, para garantizar la uniformidad, cualquier medio de contacto proporcionado debe reflejar la forma a través de la cual la organización recopila la PII (por ejemplo, proporcionando una dirección de correo electrónico o una PoC, si los datos se recopilaron por correo electrónico, en lugar de simplemente pedirle a un director que escriba una carta.



El cumplimiento no tiene por qué ser complicado.

Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.

Solicite una demo


Artículos 12 (1) y (7) del RGPD UE y cláusula 27701 de ISO 7.3.3

Proporcionar información a los directores de PII

Las organizaciones deben poder proporcionar información a los directores de PII que identifique al controlador de PII y cómo se procesan los datos.

Las organizaciones deben hacer todo lo posible para asegurarse de utilizar un lenguaje accesible que evite la jerga de la industria y transmita información en términos sencillos que sean fáciles de entender (consulte la cláusula 27702 de ISO 7.3.2).

Respaldo de cláusulas ISO 27701

  • ISO 27701 7.3.2

Artículos 12 (3), (4), (5), (6) del RGPD UE e ISO 27701, cláusula 7.3.9

Las solicitudes de los directores de PII deben regirse por procesos y controles que sean ampliamente comprendidos en toda la organización y atender los detalles específicos de cualquier requisito legislativo o regulatorio, incluidos tiempos de respuesta adecuados.

Las solicitudes pueden incluir:

  1. Copias de datos.
  2. Quejas.
  3. Aclaraciones procesales.

Las organizaciones están legalmente autorizadas a cobrar una tarifa de gestión, pero esto normalmente sólo se aplica a solicitudes de datos repetitivas o excesivas.

Controles compatibles con ISO 27701

Artículo del RGPDCláusula ISO 27701Cláusulas de apoyo de ISO 27701
Artículo 12 (2) del RGPD UEISO 27701 7.3.1Nona
Artículos 12 (1), (7) del RGPD UEISO 27701 7.3.3ISO 27701 7.3.2
Artículos 12 (3), (4), (5), (6) del RGPD UEISO 27701 7.3.9Nona

Cómo ayuda ISMS.online

ROPA es fácil

Hacemos que el mapeo de datos sea una tarea sencilla. Es fácil registrarlo y revisarlo todo, agregando los detalles de su organización a nuestra herramienta dinámica preconfigurada Registros de actividad de procesamiento.

Plantillas de evaluación

Proporcionamos plantillas fáciles de usar para registrar evaluaciones de privacidad e intereses legítimos.

Un espacio seguro para la RRD

Deberá demostrar qué tan bien gestiona las solicitudes de derechos de los interesados ​​(DRR). Nuestro espacio seguro de RRD lo mantiene todo en un solo lugar, respaldándolo con informes e información automatizados.

Gestión de infracciones

Si sucede lo peor, estarás preparado. Hacemos que sea fácil planificar y comunicar su flujo de trabajo de incumplimiento, y documentar y aprender de cada incidente.

Descubre más por reservar una demostración.

Saltar al tema

Max Edwards

Max trabaja como parte del equipo de marketing en línea de ISMS.online y se asegura de que nuestro sitio web esté actualizado con contenido útil e información sobre todo lo relacionado con ISO 27001, 27002 y su cumplimiento.

Visita guiada a la plataforma ISMS

¿Está interesado en un recorrido por la plataforma ISMS.online?

¡Comience ahora su demostración interactiva gratuita de 2 minutos y experimente la magia de ISMS.online en acción!

Pruebalo gratuitamente

Somos líderes en nuestro campo

Los usuarios nos aman
Líder de Red - Primavera de 2025
Líder del Impulso - Primavera 2025
Líder Regional - Primavera 2025 Reino Unido
Líder Regional - Primavera 2025 UE
Mejor est. ROI empresarial - Primavera de 2025
Los más recomendados para Enterprise - Primavera 2025

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

-Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

-Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

-Ben H.

¡SOC 2 ya está aquí! ¡Refuerce su seguridad y genere confianza en sus clientes con nuestra potente solución de cumplimiento hoy mismo!