Cómo demostrar el cumplimiento del artículo 21 del RGPD

Software de cumplimiento de RGPD

Reserve una demostración

mezcla,cultural,de,jóvenes,gente,trabajando,en,una,empresa

RGPD El artículo 21 contiene las condiciones que deben cumplirse antes de que un interesado pueda oponerse con éxito al tratamiento de sus datos.

Es importante tener en cuenta que los interesados ​​no disfrutan de un derecho general a oponerse a las actividades de procesamiento, sino que el derecho a oponerse se limita a un conjunto específico de escenarios.

RGPD Artículo 21 Texto Legal

Versión del RGPD de la UE

Derecho a oponerse

  1. El interesado tendrá derecho a oponerse, por motivos relacionados con su situación particular, en cualquier momento al tratamiento de los datos personales que le conciernen basado en el artículo 6, apartado 1, letras e) o f). , incluida la elaboración de perfiles basados ​​en dichas disposiciones. El responsable del tratamiento ya no procesará los datos personales a menos que demuestre motivos legítimos imperiosos para el procesamiento que prevalezcan sobre los intereses, derechos y libertades del interesado o para el establecimiento, ejercicio o defensa de reclamaciones legales.

  2. Cuando los datos personales se procesen con fines de marketing directo, el interesado tendrá derecho a oponerse en cualquier momento al procesamiento de los datos personales que le conciernen para dicho marketing, que incluye la elaboración de perfiles en la medida en que esté relacionado con dicho marketing directo.

  3. Cuando el interesado se oponga al procesamiento con fines de marketing directo, los datos personales dejarán de procesarse para dichos fines.

  4. A más tardar en el momento de la primera comunicación con el interesado, el derecho mencionado en los apartados 1 y 2 se señalará explícitamente a la atención del interesado y se presentará de forma clara y separada de cualquier otra información.

  5. En el contexto del uso de servicios de la sociedad de la información, y sin perjuicio de la Directiva 2002/58/CE, el interesado podrá ejercer su derecho de oposición por medios automatizados utilizando especificaciones técnicas.

  6. Cuando los datos personales se procesen con fines de investigación científica o histórica o con fines estadísticos de conformidad con el artículo 89, apartado 1, el interesado, por motivos relacionados con su situación particular, tendrá derecho a oponerse al procesamiento de los datos personales que le conciernen o ella, salvo que el tratamiento sea necesario para el desempeño de una tarea realizada por razones de interés público.

Versión del RGPD del Reino Unido

El RGPD del Reino Unido es muy similar al extracto del RGPD de la UE; la única diferencia se muestra a continuación:

Derecho a oponerse

5. En el contexto del uso de servicios de la sociedad de la información, el interesado podrá ejercitar su derecho de oposición por medios automatizados utilizando especificaciones técnicas, sin perjuicio de la legislación interna promulgada antes del día de finalización del IP que implementa la Directiva 2002/58/CE del Parlamento Europeo y de del Consejo de 12 de julio de 2002 sobre el tratamiento de datos personales y la protección de la intimidad en el sector de las comunicaciones electrónicas.

Comentario técnico

Las personas pueden oponerse al procesamiento de sus datos por tres motivos clave:

  1. no se identifica un 'interés legítimo' o una tarea de interés público (ver más abajo);

  2. fines de marketing directo;

  3. fines históricos o estadísticos (a menos que sean de interés público).

'Intereses legítimos'

El RGPD depende en gran medida de que el interesado establezca un "interés legítimo" antes de oponerse al procesamiento de sus datos. Esto debe incluir algunos o todos los siguientes:

  • escenarios relacionados con su propia situación personal;

  • motivos legítimos imperiosos;

  • acciones en pos de un reclamo legal;

  • elaboración de perfiles de datos (una forma de procesamiento que evalúa determinados aspectos personales relativos a una persona física, a partir de datos asociados, sin datos definitivos en los que basarse);

  • ejercer su derecho a restringir el procesamiento o suprimir.
Saltar al tema

Somos rentables y rápidos

Descubra cómo eso aumentará su ROI
Obtenga su cotización

ISO 27701 Cláusula 7.3.2 y Artículo 21 (4) del RGPD UE

Determinación de información para directores de PII

Las organizaciones deben documentar una lista de requisitos que rigen cuándo y cómo se debe proporcionar información a los directores de PII, que incluyen:

  • el propósito de la PII que se recopilará y utilizará;

  • cómo ponerse en contacto con el responsable del tratamiento;

  • las circunstancias en las que se obtuvo la PII;

  • cualquier requisito contractual y/o estatutario vigente;

  • cómo las personas pueden retirar el consentimiento;

  • cómo se transfiere la PII de una fuente a otra;

  • cómo los interesados ​​pueden presentar una queja;

  • el proceso interno de toma de decisiones de la organización;

  • cuándo se eliminarán los datos (períodos de conservación).

ISO 27701 Cláusula 7.3.3 y Artículo 21 (4) del RGPD UE

Proporcionar información a los directores de PII

Las organizaciones deben proporcionar información "clara y accesible" que establezca quién es el responsable del tratamiento de la PII y cómo se procesa.

Toda la información debe proporcionarse sin errores, escrita en un lenguaje que se entienda fácilmente (por ejemplo, lo más libre de jerga posible) y transmitida en un formato común (consulte la cláusula 27701 de ISO 7.3.2).

Respaldo de cláusulas ISO 27701

  • ISO 27701 7.3.2

ISO 27701 Cláusula 7.3.5 y Artículo 21 del RGPD UE

En este apartado hablamos de los artículos 21(1), 21(2), 21(3), 21(5) y 21(6) del RGPD.

Proporcionar un mecanismo para oponerse al procesamiento de PII

Las leyes varían de una región a otra, pero como regla general, las jurisdicciones generalmente brindan a las personas el derecho a presentar una objeción sobre cómo se recopila y procesa su PII.

Las organizaciones deberían:

  • documentar y cumplir con cualquier requisito legal o reglamentario relacionado con las objeciones específicas planteadas;

  • distribuir información fácilmente comprensible sobre cómo los individuos pueden objetar y por qué motivos.

Índice de artículos vinculados del RGPD de la UE y cláusulas ISO 27701

Artículo del RGPDCláusula ISO 27701Cláusulas de apoyo de ISO 27701
Artículo 21 (4) del RGPD UEISO 27701 7.3.2Ninguna
Artículo 21 (4) del RGPD UEISO 27701 7.3.3ISO 27701 7.3.2
Artículo 21 (1), 21 (2), 21 (3), 21 (5) y 21 (6) del RGPD UEISO 27701 7.3.5Ninguna

Cómo ayuda ISMS.online

Estamos aquí para ayudarle cuando lo necesite. Si por algún motivo experimenta falta de confianza, capacidad o impulso para tomar medidas durante su camino hacia el RGPD, podemos poner a disposición nuestro equipo de expertos internos o recomendarle a uno de nuestros socios de confianza para impulsar sus esfuerzos.

Hacemos que el mapeo de datos sea una tarea sencilla. Es fácil registrarlo y revisarlo todo, agregando los detalles de su organización a nuestra herramienta dinámica preconfigurada Registros de actividad de procesamiento.

Si sucede lo peor, estarás preparado. Hacemos que sea fácil planificar y comunicar su flujo de trabajo de incumplimiento, y documentar y aprender de cada incidente.

Descubre más por reservando una demostración práctica de 30 minutos.

Ver ISMS.online
en acción

Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración

¿No estás seguro de si construir o comprar?

Descubra la mejor manera de lograr el éxito del SGSI

Obtén tu guía gratis

ISMS.online ahora es compatible con ISO 42001, el primer sistema de gestión de IA del mundo. Haga clic para saber más