Protección de datos RGPD: ¿Cuáles son los derechos de la persona?

Protección de datos
© NL Shop - Fotolia.com

Privacidad del Cliente

Ya después de la entrada en vigor en mayo del Reglamento General de Protección de Datos (RGPD), más vale pecar por exceso de prudencia. Asegúrese de contar con los procedimientos de conformidad, razonados, seguros y con sistemas en marcha. En su tercer y último artículo sobre este tema, Geoff Cooling se centra en la cuestión de los derechos de las personas.

Datos personales

Se podría argumentar que el hecho de vender un aparato auditivo a alguien constituye una base jurídica para contactarle. Los recordatorios de consulta de seguimiento o los tests de audición periódicos pueden, con toda probabilidad, entrar dentro del contexto de una relación contractual. ¿Tiene usted por ahí guardados unos ahorrillos para contratar a un abogado que defienda esta idea ante un juez, si llega el caso? La forma más sencilla de mantenerse dentro de la legalidad, cuando se trata del consentimiento para contactar con sus clientes y para guardar los datos que les conciernen, es simplemente obtener su consentimiento explícito para cada uno de los tratamientos llevados a cabo con estos datos o cada uno de los motivos para contactarle. Así, la cuestión de si es lícito lo que usted hace no surgirá y estará cubierto legalmente.

La carta aterradora

Leí un artículo excelente de Constantine Karbaliotis, experto en confidencialidad y director de PWC Canadá, subido a LinkedIn. Él adaptó un correo de petición de acceso a sus datos personales -que había escrito varios años antes- con el fin de evidenciar las nuevas exigencias del RGPD. Lo llamó la “carta aterradora” y desde luego a mí me produce escalofríos. En ella se establecen implícitamente los derechos de acceso de las personas a los datos que les conciernen en posesión de toda empresa en virtud del RGPD. Creo que es imperativo concienciarse bien, también, en este artículo, y voy a exponer los diferentes derechos que tienen las personas que tratan con su empresa. Recuerde, no importa si pertenece a una multinacional que mueve varios miles de millones de dólares o es un autónomo individual, el RGDP nos concierne a todos.

Artículo 15 o el derecho de acceso

En virtud del Artículo 15 del RGPD, cualquier cliente de su empresa tiene derecho a acceder a los datos personales que le conciernen. En virtud del Artículo 12 del RGPD, usted dispone de un plazo de un mes para responderle y, en caso de no hacerlo, él tiene derecho a transmitir una reclamación a la autoridad de protección de datos competente. ¿Qué información puede pedirle? ¿Qué puede reclamar exactamente? Acerca de todo esto resulta particularmente interesante la carta redactada por Constantine Karbaliotis.

¿Qué datos?

Cualquier cliente puede pedir un informe de sus datos personales guardados en cualquier fichero o cualquier base de datos que usted tenga o utilice. Una petición de información de parte de un cliente cubrirá todos los datos que le conciernen guardados en su sistema de información, ya estén grabados o no en sus bases de datos, lo que incluye, por lo tanto, los correos electrónicos, los documentos en su red, los datos de voz o en cualquier otro soporte que tenga.

¿Dónde están guardados?

Pueden también pedirle ser informados de los países en que sus datos personales están guardados, o también desde dónde se puede acceder a ellos. Si usted utiliza un servicio cloud para guardar o tratar sus datos, pueden preguntarle dónde están y dónde se han guardado en los últimos 12 meses. También pueden pedir una copia completa o un acceso a todos sus datos personales que usted tiene con una explicación clara sobre la duración de la conservación y sobre la finalidad de su recogida y tratamiento.

Utilizaciones específicas y por terceros

Le pueden pedir que facilite un informe detallado de las utilizaciones específicas que hace usted de sus datos. Pueden también pedirle una lista de terceros con quien usted comparte sus datos personales. Y también tienen derecho a saber dónde han guardado estos terceros sus datos, así como la base jurídica para transferirles los mismos.

Elaboración de perfiles y toma de decisión automática

Tienen derecho a recibir cualquier información acerca de las decisiones automáticas tomadas sobre ellos, así como toda la información sobre cualquier perfil elaborado a partir de sus datos. Por ejemplo, si usted ha clasificado a un individuo bajo “consulta sin venta” y le ha enviado un correo, este tiene derecho a preguntarle por la lógica y la pertinencia de tal forma de proceder.

Copias protegidas y tecnologías seguras

Asimismo, pueden preguntarle si usted dispone de copias de seguridad de sus datos personales y, si es así, dónde están guardadas, cómo están protegidas, así como las medidas que usted ha adoptado para evitar la pérdida o el robo de estos datos, y si esta copia de seguridad está encriptada. Tienen derecho a saber si usted emplea tecnologías para proteger los datos de los clientes y si dispone de una tecnología que le permita, con una certeza razonable, saber si estos datos personales han sido divulgados. Tienen derecho a saber si usted tiene sistemas de detección de intrusos, tecnologías de cortafuegos, qué tecnologías de acceso y de identificación utiliza, si usa herramientas de auditoría de las bases de datos o de la seguridad, o cualquier otra tecnología que permita la trazabilidad de los accesos.

Lea este artículo completo en el número 141 de Audio Infos España, disponible en nuestra biblioteca digital. (Solo para suscriptores).

Traducción: J.L.F.