Cómo demostrar el cumplimiento del artículo 13 del RGPD

Versión del RGPD del Reino Unido

Artículo 13: Información que debe proporcionarse cuando se recopilen datos personales del interesado

1. Cuando los datos personales relacionados con un interesado se recopilen del interesado, el controlador deberá, en el momento en que se obtengan los datos personales, proporcionar al interesado toda la siguiente información:
• La identidad y los datos de contacto del responsable del tratamiento y, en su caso, de su representante;
• Los datos de contacto del delegado de protección de datos, en su caso;
• Las finalidades del tratamiento a las que están destinados los datos personales así como la base jurídica del tratamiento;
• Cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos perseguidos por el responsable del tratamiento o por un tercero;
• Los destinatarios o categorías de destinatarios de los datos personales, en su caso;
• Cuando corresponda, el hecho de que el controlador tenga la intención de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de regulaciones de adecuación pertinentes según la sección 17A de la Ley de 2018, o en el caso de las transferencias mencionadas en los artículos 46 o 47. , o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías apropiadas o idóneas y a los medios para obtener una copia de las mismas o dónde se han puesto a disposición.
2. Además de la información mencionada en el apartado 1, el responsable del tratamiento, en el momento en que se obtengan los datos personales, proporcionará al interesado la siguiente información adicional necesaria para garantizar un tratamiento leal y transparente:
• El período durante el cual se almacenarán los datos personales, o si eso no es posible, los criterios utilizados para determinar ese período;
• La existencia del derecho a solicitar al responsable del tratamiento el acceso, la rectificación o la supresión de los datos personales o la limitación del tratamiento del interesado o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;
• Cuando el tratamiento se base en el artículo 6, apartado 1, letra a), o en el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin afectar a la licitud del tratamiento basado en el consentimiento antes su retirada;
• El derecho a presentar una queja ante el Comisionado;
• Si el suministro de datos personales es un requisito legal o contractual, o un requisito necesario para celebrar un contrato, así como si el interesado está obligado a proporcionar los datos personales y las posibles consecuencias de no proporcionar dichos datos;
• La existencia de un sistema de toma de decisiones automatizado, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en esos casos, información significativa sobre la lógica implicada, así como la importancia y las consecuencias previstas de dicho tratamiento. para el interesado.
3. Cuando el responsable del tratamiento tenga la intención de seguir procesando los datos personales para un fin distinto de aquel para el que fueron recopilados, el responsable del tratamiento deberá proporcionar al interesado, antes de ese procesamiento adicional, información sobre ese otro fin y cualquier información adicional relevante tal como se menciona en en el apartado 2.
4. Los apartados 1, 2 y 3 no se aplicarán cuando y en la medida en que el interesado ya disponga de la información.

Comentario técnico

Las organizaciones deben poner a disposición la siguiente información en el punto de recogida, cuando corresponda (por ejemplo, transferencias internacionales):

1. La identidad de su Delegado de Protección de Datos.
2. Datos de contacto de su Delegado de Protección de Datos.
3. La finalidad y base legal para la recogida de los datos.
4. Cualquier interés legítimo.
5. La identidad de los destinatarios.
6. Transferencias internacionales de datos, incluidos detalles del país y salvaguardas.

Obligaciones de proporcionar información en el momento en que se obtienen datos personales

De acuerdo con las orientaciones descritas en el artículo 13, las organizaciones también deben proporcionar la siguiente información:

• Detalles del plazo de conservación de los datos.
• La especificidad de los derechos del interesado, según la ley de protección de datos.
• Información sobre cómo retirar el consentimiento.
• Cómo presentar una denuncia.
• La fuente de los datos que se han obtenido.
• Cualquier requisito contractual o estatutario.
• Detalles de los procesos automatizados de toma de decisiones.

Artículo 13 (1)(a), (1)(b), (1)(c), (1)(d), (1)(e), (1)(f), (2)(del RGPD UE) c), (2)(d), (2)(e), (3), (4) e ISO 27701 Cláusula 7.3.2

Determinación de información para directores de PII

Las organizaciones deben describir un conjunto detallado de requisitos que rigen cómo y cuándo se debe proporcionar información a los directores de PII.

Algunos ejemplos son:

• El propósito subyacente de los datos que se recopilan y procesan.
• Detalles de contacto.
• Cómo y dónde se obtuvo la PII.
• Requisitos contractuales y/o estatutarios.
• Cómo se puede eliminar el consentimiento.
• Transferencias de IIP.
• Cómo registrar una queja.
• Cómo la organización toma decisiones sobre el procesamiento de la PII.
• Plazos de conservación de la información.

Artículo 13 (3) del RGPD UE y cláusula 27701 de ISO 7.3.3

Proporcionar información a los directores de PII

Toda la información debe proporcionarse sin errores y en un lenguaje que sea fácilmente comprensible (por ejemplo, sin jerga, no demasiado técnico) por las personas que tengan la capacidad de leerla (consulte la cláusula 27702 de ISO 7.3.2).

Respaldo de cláusulas ISO 27701

• ISO 27701 7.3.2

Artículo 13 (2)(c) del RGPD UE y cláusula 27701 de ISO 7.3.4

Proporcionar un mecanismo para modificar o retirar el consentimiento

Se deben proporcionar mecanismos que atiendan los derechos de cualquier director de PII que desee retirar su consentimiento.

Los canales de comunicación deben reflejar los que utilizó la organización para recopilar inicialmente los datos, y los directores de PII deben poder restringir al controlador la realización de ciertas acciones.

Las organizaciones deben comprometerse a publicar un tiempo de respuesta para todas las modificaciones o retiros de solicitudes de consentimiento, y todas esas solicitudes deben documentarse exhaustivamente.

Artículo 13 (2)(b) del RGPD UE y cláusula 27701 de ISO 7.3.5

Proporcionar un mecanismo para oponerse al procesamiento de PII

Las leyes locales y nacionales varían entre jurisdicciones, pero en general, los responsables de la PII deben conservar la capacidad de plantear objeciones sobre cómo se han almacenado, procesado o transferido sus datos.

Las organizaciones deberían:

1. Documente cualquier requisito legal o reglamentario relacionado con las objeciones planteadas por los directores de PII.
2. Proporcionar a los interesados ​​información sobre cómo pueden oponerse.

Artículo 13 (2)(b) del RGPD UE y cláusula 27701 de ISO 7.3.6

Acceso, Corrección y/o Supresión

Las organizaciones deben documentar procedimientos que permitan a los interesados ​​realizar tres funciones básicas:

1. Access sus datos.
2. Correcto sus datos.
3. Borrar sus datos.

Las organizaciones deben comprometerse a publicar un tiempo de respuesta para todas las solicitudes de acceso, corrección o eliminación, y proporcionar una razón de por qué no se pueden realizar las correcciones, cuando sea relevante.

Si la PII se ha transferido a un tercero, las organizaciones están obligadas a transmitirle cualquier solicitud y confirmar el reconocimiento (consulte la cláusula 27701 de ISO 7.3.7).

Dependiendo de la jurisdicción, pueden aplicarse varias normas regionales y nacionales. Como tal, las organizaciones deben mantener un conocimiento profundo de las leyes o regulaciones que se aplican al acceso, corrección o eliminación de PII.

Respaldo de cláusulas ISO 27701

• ISO 27701 7.3.7

Artículo 13 (2)(f) del RGPD UE y cláusula 27701 de ISO 7.3.10

Toma de decisiones automatizada

Las organizaciones deben abordar cualquier obligación legal con los directores de PII que se relacionen con el procesamiento automatizado de PII.

Las organizaciones deben tener en cuenta las variaciones jurisdiccionales en la toma de decisiones automatizada con respecto a la PII, más específicamente, permitir que los directores de la PII objeten y soliciten intervención humana en lugar de procedimientos automatizados.

Artículo 13 (2)(a) del RGPD UE y cláusula 27701 de ISO 7.4.7

Las organizaciones deben eliminar y/o deshacerse de la PII que ya no necesita o que ya no cumple con un propósito específico.

Las organizaciones deben operar con cronogramas de retención que describan el período de tiempo exacto durante el cual se conserva la PII, incluido el cumplimiento de cualquier requisito legal, estatutario o contractual.

Controles compatibles con ISO 27701

Cómo ayuda ISMS.online

ROPA es fácil

Nuestra solución PIMS hace que el mapeo de datos sea una tarea sencilla. Es fácil registrarlo y revisarlo todo, agregando los detalles de su organización a nuestra herramienta dinámica preconfigurada Registros de actividad de procesamiento.

Banco de riesgos integrado

La gestión del riesgo es clave para un PIMS exitoso. Es por eso que hemos creado un banco de riesgos integrado y una variedad de otras herramientas prácticas que ayudarán en cada parte del proceso de evaluación y gestión de riesgos.

Espacio seguro para la RRD

Independientemente de los estándares o regulaciones de privacidad en los que esté trabajando, deberá demostrar qué tan bien gestiona las Solicitudes de derechos de los titulares de datos (DRR). Nuestro espacio seguro de RRD lo mantiene todo en un solo lugar, respaldándolo con informes e información automatizados.

Descubre más por reservar una demostración.