Cómo demostrar el cumplimiento del artículo 14 del RGPD

Versión del RGPD del Reino Unido

Información que debe facilitarse cuando los datos personales no se hayan obtenido del interesado

1. Cuando los datos personales no se hayan obtenido del interesado, el responsable del tratamiento proporcionará al interesado la siguiente información:
• La identidad y los datos de contacto del responsable del tratamiento y, en su caso, de su representante;
• Los datos de contacto del delegado de protección de datos, en su caso;
• Las finalidades del tratamiento a las que están destinados los datos personales así como la base jurídica del tratamiento;
• Las categorías de datos personales en cuestión;
• Los destinatarios o categorías de destinatarios de los datos personales, en su caso;
• Cuando corresponda, que el controlador tiene la intención de transferir datos personales a un destinatario en un tercer país u organización internacional y la existencia o ausencia de regulaciones de adecuación pertinentes según la sección 17A de la Ley de 2018, o en el caso de las transferencias mencionadas en el artículo 46 o 47, o el artículo 49, apartado 1, párrafo segundo, en referencia a las garantías apropiadas o idóneas y a los medios para obtener una copia de las mismas o dónde se han puesto a disposición.
2. Además de la información mencionada en el apartado 1, el responsable del tratamiento proporcionará al interesado la siguiente información necesaria para garantizar un tratamiento leal y transparente con respecto al interesado:
• El período durante el cual se almacenarán los datos personales, o si eso no es posible, los criterios utilizados para determinar ese período;
• Cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos perseguidos por el responsable del tratamiento o por un tercero;
• La existencia del derecho a solicitar al responsable del tratamiento el acceso, la rectificación o la supresión de los datos personales o la limitación del tratamiento del interesado y a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;
• Cuando el tratamiento se base en el artículo 6, apartado 1, letra a), o en el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin afectar a la licitud del tratamiento basado en el consentimiento antes de su retiro;
• El derecho a presentar una queja ante el Comisionado;
• De qué fuente provienen los datos personales y, en su caso, si provienen de fuentes de acceso público;
• La existencia de un proceso automatizado de toma de decisiones, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en esos casos, información significativa sobre la lógica implicada, así como la importancia y las consecuencias previstas de dicho tratamiento. para el interesado.
3. El responsable del tratamiento facilitará la información a que se refieren los apartados 1 y 2:
• Dentro de un plazo razonable después de la obtención de los datos personales, pero a más tardar en el plazo de un mes, teniendo en cuenta las circunstancias específicas en las que se procesan los datos personales;
• Si los datos personales van a utilizarse para la comunicación con el interesado, a más tardar en el momento de la primera comunicación a ese interesado; o
• Si está prevista una divulgación a otro destinatario, a más tardar cuando se comuniquen los datos personales por primera vez.
4. Cuando el responsable del tratamiento tenga la intención de seguir procesando los datos personales para un fin distinto de aquel para el que se obtuvieron, el responsable del tratamiento deberá proporcionar al interesado, antes de ese procesamiento adicional, información sobre ese otro fin y cualquier información adicional relevante según lo mencionado. en el apartado 2.
5. Los apartados 1 a 4 no se aplicarán cuando y en la medida en que:
• El interesado ya dispone de la información;
• El suministro de dicha información resulta imposible o implicaría un esfuerzo desproporcionado, en particular para el procesamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, sujeto a las condiciones y garantías mencionadas en el artículo 89, apartado 1 o en la medida en que la obligación mencionada en el apartado 1 del presente artículo pueda hacer imposible o perjudicar gravemente la consecución de los objetivos de dicho tratamiento. En tales casos, el responsable del tratamiento adoptará las medidas adecuadas para proteger los derechos y libertades y los intereses legítimos del interesado, incluida la puesta a disposición del público de la información;
• La obtención o divulgación esté expresamente prevista por la legislación interna, que prevé medidas apropiadas para proteger los intereses legítimos del interesado; o
• Cuando los datos personales deban permanecer confidenciales sujetos a una obligación de secreto profesional regulada por la legislación interna, incluida una obligación legal de secreto.

Comentario técnico

Las organizaciones deben poner a disposición la siguiente información después de la recopilación de los datos del sujeto:

1. La identidad de su Delegado de Protección de Datos.
2. Datos de contacto de su Delegado de Protección de Datos.
3. La finalidad y base legal para la recogida de los datos.
4. Las categorías de datos personales que se hayan obtenido indirectamente.
5. Cualquier interés legítimo.
6. La identidad de los destinatarios.
7. Transferencias internacionales de datos, incluidos detalles del país y salvaguardas.

Obligaciones de proporcionar información en el momento en que se obtienen datos personales

Además de la información anterior, la organización también debe proporcionar:

1. Detalles del período de retención de datos;
2. Los detalles de los derechos del interesado, según la ley de protección de datos;
3. Información sobre cómo retirar el consentimiento;
4. Cómo presentar una queja;
5. Cualquier requisito contractual o estatutario;
6. Detalles de los procesos automatizados de toma de decisiones.

Plazos sobre los que debe facilitarse la información sobre el tratamiento

• Escenario 1 – Datos personales recopilados con sin intención contactar con el interesado o comunicar los datos a un tercero
• Plazo de contacto – Un mes
• Escenario 2 – Datos personales recopilados con una intención para contactar con el interesado
• Plazo de contacto – Dos meses
• Datos personales recopilados con una intención revelarlos a un tercero
• Plazo de contacto – Dos meses

Artículo 14 del RGPD UE y cláusula 27701 de ISO 7.3.2

Esta sección hace referencia a los artículos 14 (1)(a), 14 (1)(b), 14 (1)(c), 14 (1)(d), 14 (1)(e), 14 (1)( f), 14 (2)(b), 14 (2)(e), 14 (2)(f), 14 (3)(a), 14 (3)(b), 14 (3)(c) , 14 (4), 14 (5)(a), 14 (5)(b), 14 (5)(c), 14 (5)(d)

Consulte la guía de la Cláusula 27701 de ISO 7.3.2 dentro del Artículo 13.

Artículo 14 (2)(d) del RGPD UE y cláusula 27701 de ISO 7.3.4

Consulte la guía de la Cláusula 27701 de ISO 7.3.4 dentro del Artículo 13.

Artículo 14 (2)(c) del RGPD UE y cláusula 27701 de ISO 7.3.5

Consulte la guía de la Cláusula 27701 de ISO 7.3.5 dentro del Artículo 13.

Artículo 14 (2)(c) del RGPD UE y cláusula 27701 de ISO 7.3.6

Consulte la guía de la Cláusula 27701 de ISO 7.3.6 dentro del Artículo 13.

Artículo 14 (2)(g) del RGPD UE y cláusula 27701 de ISO 7.3.10

Consulte la guía de la Cláusula 27701 de ISO 7.3.10 dentro del Artículo 13.

Artículo 14 (2)(a) del RGPD UE y cláusula 27701 de ISO 7.4.7

Consulte la guía de la Cláusula 27701 de ISO 7.4.7 dentro del Artículo 13.

Controles compatibles con ISO 27701

Cómo ayuda ISMS.online

Proporcionamos un entorno prediseñado para que usted describa y demuestre su enfoque para proteger los datos de sus clientes europeos y del Reino Unido que se adapta perfectamente a su sistema de gestión.

Es por eso que hemos creado un banco de riesgos integrado y una variedad de otras herramientas prácticas que ayudarán en cada parte del proceso de evaluación y gestión de riesgos. Independientemente de los estándares o regulaciones de privacidad en los que esté trabajando, deberá demostrar qué tan bien gestiona las Solicitudes de derechos de los titulares de datos (DRR). Nuestro espacio seguro de RRD lo mantiene todo en un solo lugar, respaldándolo con informes e información automatizados.

Descubre más por reservando una demostración de 30 minutos.