Cómo demostrar el cumplimiento del artículo 20 del RGPD

Entendiendo el artículo 20 del RGPD: El derecho a la portabilidad de datos

GDPR El artículo 20 trata del derecho del interesado a recibir una copia de sus datos, tan pronto como sean recogidos y durante toda la operación de tratamiento.

Al proporcionar los datos al sujeto, las organizaciones deben asegurarse de que sean fácilmente accesibles, en un formato común y libres de errores.

RGPD Artículo 20 Texto Legal

Versión del RGPD de la UE

Derecho a la portabilidad de los datos

1. El interesado tendrá derecho a recibir los datos personales que le conciernen, que haya proporcionado a un responsable del tratamiento, en un formato estructurado, de uso común y legible por máquina y tendrá derecho a transmitir esos datos a otro responsable del tratamiento sin impedimento del responsable del tratamiento al que se hayan facilitado los datos personales, cuando:
• el procesamiento se basa en el consentimiento de conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), o en un contrato de conformidad con el artículo 6, apartado 1, letra b); y
• El procesamiento se realiza por medios automatizados.
2. Al ejercer su derecho a la portabilidad de los datos de conformidad con el apartado 1, el interesado tendrá derecho a que los datos personales se transmitan directamente de un responsable del tratamiento a otro, cuando sea técnicamente posible.
3. El ejercicio del derecho a que se refiere el apartado 1 del presente artículo se entenderá sin perjuicio de lo dispuesto en el artículo 17. Ese derecho no se aplicará al tratamiento necesario para el desempeño de una misión realizada en interés público o en el ejercicio de un poder público conferido a el controlador.
4. El derecho a que se refiere el apartado 1 no afectará negativamente a los derechos y libertades de los demás.

Versión del RGPD del Reino Unido

Derecho a la portabilidad de los datos

1. El interesado tendrá derecho a recibir los datos personales que le conciernen, que haya proporcionado a un responsable del tratamiento, en un formato estructurado, de uso común y legible por máquina y tendrá derecho a transmitir esos datos a otro responsable del tratamiento sin impedimento del responsable del tratamiento al que se hayan facilitado los datos personales, cuando:
• el procesamiento se basa en el consentimiento de conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), o en un contrato de conformidad con el artículo 6, apartado 1, letra b); y
• El procesamiento se realiza por medios automatizados.
2. Al ejercer su derecho a la portabilidad de los datos de conformidad con el apartado 1, el interesado tendrá derecho a que los datos personales se transmitan directamente de un responsable del tratamiento a otro, cuando sea técnicamente posible.
3. El ejercicio del derecho a que se refiere el apartado 1 del presente artículo se entenderá sin perjuicio de lo dispuesto en el artículo 17. Ese derecho no se aplicará al tratamiento necesario para el desempeño de una misión realizada en interés público o en el ejercicio de un poder público conferido a el controlador.
4. El derecho a que se refiere el apartado 1 no afectará negativamente a los derechos y libertades de los demás.

Comentario técnico

Hay cuatro derechos clave a considerar al discutir el concepto de portabilidad de datos:

1. el derecho subyacente del interesado a la "portabilidad de datos";
2. el derecho del interesado a que sus datos personales se transmitan directamente a otro responsable del tratamiento;
3. el derecho de borrado;
4. los derechos y libertades de terceros (es decir, otros interesados) al considerar la transferencia de datos.

ISO 27701 Cláusula 7.3.8 y Artículo 20 del RGPD UE

En este apartado hablamos de los artículos 20(1), 20(2), 20(3) y 20(4) del RGPD.

Proporcionar una copia de la PII

ISO requiere que las organizaciones proporcionen una copia de los datos de un individuo en un formato de fácil acceso que sea claro, libre de errores y que pertenezca únicamente a la persona que realizó la solicitud.

Si los datos han sido anonimizados, las organizaciones deben no está intentar volver a identificar la PII, a menos que esté legalmente obligado a hacerlo.

Las organizaciones también deben cumplir con sus responsabilidades con respecto a la transferencia directa de PII a otra organización.

Índice de artículos vinculados del RGPD de la UE y cláusulas ISO 27701

Cómo ayuda ISMS.online

Nos tienes a tu alcance

Aunque el RGPD es una normativa independiente para la que puede obtener la certificación de forma independiente, resulta muy beneficioso adoptar un enfoque complementario junto con otras normas ISO clave.

Por ejemplo, como estándar de gestión de riesgos, ISO 27001 proporciona controles integrales en torno a la protección de los activos de información, mientras que ISO 27701 proporciona lo mismo, pero con un enfoque específico en la privacidad de los datos. Adoptar el RGPD junto con uno o ambos estándares le brindará a usted y a sus clientes la máxima seguridad.

Nuestra plataforma intuitiva facilita el trabajo hacia múltiples objetivos de seguridad de la información y privacidad de datos, mapeando su trabajo a través de múltiples estándares y marcos, eliminando la duplicación y repetición donde se cruzan.

Una vez que haya obtenido con éxito la certificación ISO 27001, ISO 27701 o GDPR, estará en una excelente posición para ampliar su postura de privacidad de datos para incluir uno de nuestros otros marcos de privacidad regionales:

• popia
• BS 10012
• Principios de privacidad de Australia
• Marco de privacidad del NIST
• Directrices de privacidad de la OCDE
• Marco de privacidad de APEC
• Y más...

Descubre más por Reservar una demostración práctica.