Cómo demostrar el cumplimiento del artículo 15 del RGPD

Entender el artículo 15 del RGPD: sus derechos de acceso a los datos personales

El artículo 15 trata de la obligación de una organización de proporcionar información coherente, fiable y precisa relativa a sus actividades como responsable del tratamiento.

La información que las organizaciones proporcionan a los interesados ​​permite a las personas aumentar su conciencia sobre cómo se utilizan sus datos, controlar cómo se procesan y comparten sus datos y garantizar que sus datos se manejen legalmente.

RGPD Artículo 15 Texto Legal

Versión del RGPD del Reino Unido

Derecho de acceso por parte del interesado

1. El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, acceder a los datos personales y a la siguiente información:
• los fines del procesamiento;
• las categorías de datos personales afectados;
• los destinatarios o categorías de destinatarios a quienes se han comunicado o se comunicarán los datos personales, en particular destinatarios en terceros países u organizaciones internacionales;
• cuando sea posible, el período previsto para el cual se almacenarán los datos personales, o si no es posible, los criterios utilizados para determinar ese período;
• la existencia del derecho a solicitar al responsable del tratamiento la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado o a oponerse a dicho tratamiento;
• el derecho a presentar una queja ante el Comisionado;
• donde los datos personales no se recopilan del sujeto de datos;
• la existencia de un proceso automatizado de toma de decisiones, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en esos casos, información significativa sobre la lógica implicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
2. Cuando los datos personales se transfieran a un tercer país o a una organización internacional, el interesado tendrá derecho a ser informado de las garantías adecuadas de conformidad con el artículo 46 en relación con la transferencia.
3. El responsable del tratamiento deberá proporcionar una copia de los datos personales objeto de tratamiento. Para cualquier copia adicional solicitada por el interesado, el responsable del tratamiento podrá cobrar una tarifa razonable basada en los costes administrativos. Cuando el interesado realice la solicitud por medios electrónicos, y salvo que el interesado solicite lo contrario, la información se facilitará en un formato electrónico de uso común.
4. El derecho a obtener una copia a que se refiere el apartado 3 no afectará negativamente a los derechos y libertades de los demás.

Versión del RGPD de la UE

Derecho de acceso por parte del interesado

1. El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, acceder a los datos personales y a la siguiente información:
• los fines del procesamiento;
• las categorías de datos personales afectados;
• los destinatarios o categorías de destinatarios a quienes se han comunicado o se comunicarán los datos personales, en particular destinatarios en terceros países u organizaciones internacionales;
• cuando sea posible, el período previsto para el cual se almacenarán los datos personales, o si no es posible, los criterios utilizados para determinar ese período;
• la existencia del derecho a solicitar al responsable del tratamiento la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado o a oponerse a dicho tratamiento;
• el derecho a presentar una queja ante una autoridad supervisora;
• donde los datos personales no se recopilan del sujeto de datos;
• la existencia de un proceso automatizado de toma de decisiones, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en esos casos, información significativa sobre la lógica implicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
2. Cuando los datos personales se transfieran a un tercer país o a una organización internacional, el interesado tendrá derecho a ser informado de las garantías adecuadas de conformidad con el artículo 46 en relación con la transferencia.
3. El responsable del tratamiento deberá proporcionar una copia de los datos personales objeto de tratamiento. Para cualquier copia adicional solicitada por el interesado, el responsable del tratamiento podrá cobrar una tarifa razonable basada en los costes administrativos. Cuando el interesado realice la solicitud por medios electrónicos, y salvo que el interesado solicite lo contrario, la información se facilitará en un formato electrónico de uso común.
4. El derecho a obtener una copia a que se refiere el apartado 3 no afectará negativamente a los derechos y libertades de los demás.

Comentario técnico

El artículo 15 contiene tres derechos fundamentales que corresponden al interesado:

1. el derecho de acceso (incluido el derecho a recibir confirmación del procesamiento y más información sobre el procesamiento);
2. el derecho a recibir información sobre salvaguardias;
3. el derecho a recibir una copia de los datos personales;

El artículo 15 también describe algunos límites al derecho de acceso (ver arriba). Cuando dicho acceso infrinja los derechos y libertades de otros, las organizaciones pueden rechazar solicitudes de copias de datos.

Además, cuando dichas solicitudes se consideran excesivas o manifiestamente infundadas, las organizaciones pueden cobrar una "tarifa razonable" para combatir la naturaleza repetitiva de las solicitudes de información.

ISO 27701 Cláusula 7.3.2 y Artículo 15 del RGPD UE

En esta sección hablamos de los artículos 15 (1)(a), 15 (1)(b), 15 (1)(c), 15 (1)(d), 15 (1)(e), 15 ( 1)(f), 15 (1)(g), 15 (1)(h) y 15 (2)

Las organizaciones deben describir un conjunto detallado de requisitos que rigen cómo y cuándo se debe proporcionar información a los directores de PII.

Algunos ejemplos son:

• el propósito subyacente de los datos que se recopilan y procesan;
• Detalles de contacto;
• cómo y dónde se obtuvo la PII;
• requisitos contractuales y/o estatutarios;
• cómo se puede eliminar el consentimiento;
• transferencias de IIP;
• cómo registrar una queja;
• cómo la organización toma decisiones sobre el procesamiento de la PII;
• Períodos de retención de la información.

ISO 27701 Cláusula 7.3.8 y Artículo 15 (3) y (4) del RGPD UE

Las organizaciones deben proporcionar copias de los datos de PII en un formato fácil de usar y de fácil acceso.

Las organizaciones deben asegurarse de que cualquier información proporcionada se relacione únicamente al titular de PII que lo solicitó en primera instancia.

Si la PII ha sido anonimizada, no se debe intentar volver a identificarla, a menos que la organización esté legalmente obligada a hacerlo.

Las organizaciones también deberían explorar métodos para transferir la PII. directamente a otra organización, si así se le solicita.

ISO 27701 Cláusula 7.3.9 y Artículo 15 del RGPD UE

En esta sección hablamos de los artículos 15 (1)(a), 15 (1)(b), 15 (1)(c), 15 (1)(d), 15 (1)(e), 15 ( 1)(f), 15 (1)(g), 15 (1)(h)

Las solicitudes pueden incluir una copia de la PII o el registro de una queja y deben completarse dentro de un tiempo de respuesta razonable.

Las organizaciones también pueden cobrar una tarifa de gestión, pero esto generalmente se limita a solicitudes excesivas o repetitivas y depende de la jurisdicción en la que opera la organización.

ISO 27701 Cláusula 7.4.5 y Artículo 15 (2) del RGPD UE

Las organizaciones deben destruir cualquier PII que ya no cumpla un propósito o modificarla de manera que impida cualquier forma de identificación principal.

ISO 27701 Cláusula 7.5.1 y Artículo 15 (2) del RGPD UE

Puede surgir la necesidad de transferir PII entre dos jurisdicciones distintas. Cuando esto ocurre, las organizaciones deben justificar y documentar la necesidad de hacerlo.

Las organizaciones deben tener en cuenta todas las leyes, marcos y regulaciones pertinentes siempre que necesiten transferir datos entre jurisdicciones. Las organizaciones también deben documentar el uso de una autoridad supervisora ​​designada, cuando sea relevante.

ISO 27701 Cláusula 8.3.1 y Artículo 15 (3) del RGPD UE

Las organizaciones deben garantizar medios adecuados para cumplir con sus obligaciones en tres áreas clave:

• legislación;
• regulación;
• contratos.

Índice de artículos vinculados del RGPD de la UE y cláusulas ISO 27701

Cómo ayuda ISMS.online

ISMS.online proporciona un entorno prediseñado para que usted describa y demuestre su enfoque para proteger los datos de sus clientes europeos y del Reino Unido que se adapta perfectamente a su sistema de gestión.

GDPR generalmente se considera la regulación de privacidad y seguridad más estricta del mundo, y sus infracciones dan lugar a multas importantes. Puede ser ambiguo y abierto a interpretación, sugiriendo que las organizaciones deben proporcionar un nivel "razonable" de protección de los datos personales.

ISMS.online le facilita iniciar su camino hacia el cumplimiento del RGPD y demostrar fácilmente un nivel de protección que va más allá de lo "razonable", todo en una ubicación segura.

Descubra cómo ISMS.online puede ayudarle a demostrar el cumplimiento del RGPD al reservar una demostración práctica.