👉 Esta actividad te ayuda a cumplir los siguientes controles:
Controles específicos de ISO 27018: A.2.1, A.5.1, A.10.3, A.11.7
Controles específicos de ISO 27701: 7.3.6, 7.4.3, 7.4.8
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayuda a establecer un procedimiento que te permitirá cumplir adecuadamente con las solicitudes que realicen los titulares de datos personales para ejercer sus derechos sobre su información, la cual es recabada por tu empresa.
¿Qué tengo que hacer? 🚀
💡 Recuerda que este procedimiento debe estar alineado a tus operaciones reales, pero sin dejar de considerar la implementación de medidas de seguridad que te ayuden a tener un procedimiento eficiente y en cumplimiento.
Ahora bien, para documentar tu procedimiento debes definir cómo se atenderán las solicitudes relacionadas al acceso, corrección y/o borrado de datos personales. Y para ello, te recomendamos considerar los siguientes pasos:
Revisión del medio de contacto que le hayas proporcionado al titular.
Si definiste un correo electrónico, un número telefónico o algún otro medio por el cual el cliente puede realizar solicitudes para ejercer sus derechos, debe haber un responsable asignado que revise de manera diaria (preferentemente) si existen nuevas solicitudes que atender.
Análisis de las solicitudes.
El responsable asignado debe analizar la solicitud para garantizar que cuenta con toda la información y/o documentación necesaria.
Si existe algún error en la solicitud, o no cuenta con la información y/o documentación necesaria, será necesario notificar al titular, por lo que es importante definir estos pasos de manera clara.
Recomendamos también indicar los casos en los que no sea posible atender la solicitud, de manera que puedas ser transparente con el titular sobre los motivos de rechazo.
Verificación de la identidad del titular y/o del representante legal.
El responsable asignado debe verificar la identidad del titular y/o del representante legal (en caso de estar también involucrado) para asegurar que efectivamente la persona que realiza la solicitud es el titular de los datos personales, o es quién dice ser.
Si cuentas con diferentes medios de contacto con el titular, por ejemplo correo electrónico, de manera presencial, llamada telefónica, etcétera, recomendamos definir cómo se debe verificar la identidad de las personas en cada uno de esos escenarios.
Si existe algún error en la verificación de la identidad, se debe notificar al titular y/o al representante legal sobre lo ocurrido, y darles un periodo de tiempo para su debida corrección, de manera que la solicitud siempre pueda ser aceptada o rechazada, y así, llevar una mejor gestión de ellas.
Ejecución de la solicitud.
Cuando la solicitud es aceptada, el responsable asignado debe ejecutar las acciones pertinentes para cumplir con lo solicitado. Por lo que en este paso debes describir claramente qué se debe realizar para acceder, corregir o borrar los datos personales, considerando todos los sitios o ubicaciones donde se encuentren almacenados.
Es importante hacerle saber al titular y/o representante legal las consideraciones en las cuales la organización no está obligada a borrar datos personales.
Respuesta a la solicitud.
Una vez atendida la solicitud, el responsable asignado debe notificar al titular y/o al representante sobre el estatus de su solicitud:
Si fue procesada exitosamente, deberá presentar las pruebas pertinentes de las acciones aplicadas.
Si no pudo ser procesada, se deben comunicar los motivos, y si es necesario, también presentar las pruebas pertinentes que los respalden.
Registro de la solicitud.
Para llevar un seguimiento e histórico adecuado de las solicitudes, se debe llevar un registro de ellas en el documento o herramienta destinada por la empresa para la gestión de este procedimiento.
Es importante que definas cuál es la información que se debe registrar de las solicitudes, de manera que te permita tener una trazabilidad adecuada y cubra tus necesidades de seguridad y monitoreo.
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu procedimiento fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Añade todos los pasos y medidas de seguridad que consideres necesarios para garantizar la confidencialidad y protección de los datos personales.
Revisa este documento periódicamente y aplica cualquier cambio que pueda aportar valor para mantenerlo siempre alineado con las mejores prácticas, y sobre todo, con las regulaciones aplicables a tu empresa sobre protección de datos.
También alinea este procedimiento con lo definido en tu Política de Privacidad y Tratamiento de Datos Personales.
¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.