Actualizaciones de la sección GDPR: Derecho a restringir el procesamiento de datos

¿Qué es el derecho a restringir el procesamiento?

La Reglamento General de Protección de Datos (GDPR) se trata de darle al individuo (el interesado) más control sobre lo que sucede con sus datos personales. El artículo 18 del reglamento detalla el derecho del individuo a imponer restricciones a una organización y limitar la forma en que utiliza los datos.

El interesado debe tener un motivo para restringir los datos; por ejemplo, podría pensar que los datos son inexactos o no cree que dio su consentimiento para que sus datos se utilicen de la forma en que lo han hecho. Veámoslo con más detalle.

¿Cuándo puede un individuo hacer uso de su derecho a restringir el procesamiento?

La Oficina del Comisionado de Información (ICO) afirma que:

• el individuo cuestiona la exactitud de sus datos personales y usted está verificando la exactitud de los datos;
• los datos han sido procesados ​​ilegalmente (es decir, en violación del requisito de legalidad del primer principio del RGPD) y el individuo se opone a la supresión y solicita en su lugar su restricción;
• usted ya no necesita los datos personales pero el individuo necesita que usted los conserve para poder establecer, ejercer o defender un reclamo legal; o
• el individuo se ha opuesto a que usted procese sus datos conforme al Artículo 21(1), y usted está considerando si sus motivos legítimos prevalecen sobre los del individuo.

Aunque existen distinciones claras, se puede ver que la restricción del procesamiento guarda relación con el derecho de rectificación del RGPD (artículo 16) y el derecho de oposición (artículo 21(1). Esto significa que se recomienda que si recibe una solicitud de rectificación u objeción, usted restringe automáticamente el procesamiento mientras la solicitud está bajo revisión.

¿Cómo se restringe el procesamiento de datos para GDPR?

El efectivo gestión de este aspecto del RGPD, como muchos otros, se reduce a la planificación de procesos. El procesamiento de datos personales incluye recopilar, estructurar, difundir y borrar, por lo que debes considerarlos al crear tu proceso.

Además, el método de almacenamiento que utilice es igualmente importante. Si recibe una solicitud de restricción, puede mover temporalmente esos datos a un sistema de procesamiento separado. También puede optar por hacer que los datos no estén disponibles o eliminarlos desde donde se pueden ver actualmente, como en un sitio web, por ejemplo.

Si previamente has compartido estos datos con otra organización deberás informarles de la solicitud.

¿Cuándo se puede levantar o rechazar una restricción?

Normalmente una restricción al proceso es un estado temporal si es por motivos de exactitud o necesidad. Una vez que se hayan abordado estas preguntas y haya informado a la persona, puede optar por levantar la restricción.

Puede rechazar una solicitud de restricción si considera que es infundada o excesiva. La ICO afirma:

Si considera que una solicitud es manifiestamente infundada o excesiva podrá:

• solicitar una “tarifa razonable” para atender la solicitud; o

• negarse a atender la solicitud.

En cualquier caso deberá justificar su decisión.

Debe basar la tarifa razonable en los costos administrativos de cumplir con la solicitud. Si decide cobrar una tarifa, debe comunicarse con la persona de inmediato e informarle. No es necesario que cumpla con la solicitud hasta que haya recibido la tarifa.

Si rechazas una solicitud deberás comunicarle al particular por qué has tomado esta decisión, explicarle su derecho a presentar una reclamación ante el ICO e informarle de sus derechos judiciales.

Hablamos sobre la necesidad de contar con políticas para facilitar el manejo de estas solicitudes. Pero, ¿su organización controla los datos personales que posee? ISMS.online tiene una solución para eso.