Cumplir reclamaciones de usuarios en Protección de Datos

Cumplir reclamaciones de usuarios en Protección de Datos, supone atender a las consultas y requerimientos de los titulares de los datos personales que la web provee. Todo titular de un dato personal, tiene derecho a acceder, rectificar, modificar o cancelar sus datos personales con respecto a una empresa. Es por ello, que en caso de que una persona haga valer su derecho, debe ser atendido en un plazo máximo de 10 días, en concreto:

  • Derecho de acceso: es cuando el usuario te pide conocer qué datos tienes de él.
  • Derecho de rectificación: es cuando el usuario te informa de que algún dato que tienes de él no es veraz y te pide que lo cambies.
  • Derecho de cancelación: es cuando un usuario te pide que borres su información (total o parcialmente).
  • Derecho de oposición: es cuando un usuario te pide que no sigas realizando uso de sus datos.

La creación y mantenimiento de un fichero de datos personales exige la aplicación de unas determinadas medidas de seguridad, tanto técnicas como organizativas y que están recogidas en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

De inicio, se deben aplicar las medidas de nivel básico a cualquier fichero, pudiendo ser exigible además, las medidas de los niveles medio y alto según el tipo de datos que se manejen (por ejemplo, nivel medio: datos financieros; nivel alto: datos de salud).

Todas estas medidas de seguridad deberán estar recogidas en un documento de documento de seguridad en el que debemos recoger las soluciones de control de índole técnica y organizativa acorde a la normativa de seguridad vigente en la empresa que será de obligado cumplimiento para el personal con acceso a los datos de carácter personal.

Aquí puedes descargarte el modelo de documento de seguridad de la AGPD.

De forma general, las medidas deben cumplir los siguientes criterios:

  • Deber de secreto. El que una persona nos haya facilitado sus datos de carácter personal nos obliga a mantener la confidencialidad de los mismos y a no revelarlos a ninguna otra persona o empresa, ni que nadie pueda acceder a ellos, a menos que la persona a la que pertenezcan los datos sepa y consienta que los vamos a ceder. Esta obligación de custodia y secreto persiste siempre y cuando mantengamos en nuestro poder dichos datos.
  • Atención de los derechos. Las personas que nos hayan facilitado sus datos tienen derecho a poder conocer qué datos tenemos de ellos y para qué, a solicitar que los cambiemos o cancelemos así como a oponerse al tratamiento que realizamos con sus datos. Son los derechos de acceso, rectificación, cancelación y oposición, conocidos como derechos ARCO, de manera que cualquiera pueda disponer de sus datos personales y no pierda el control sobre ellos. Hay que responder siempre (en un plazo máximo de 10 días) a la solicitud que realicen informando sobre cual es el resultado de la misma.
  • Contrato de tratamiento de datos. Se suelan dar casos en los que no seamos los únicos que tengamos acceso a los datos personales recogidos a través de nuestra web. Por ejemplo, cuando ésta web esté alojada en los servidores de otra empresa; un informático que no es de nuestra empresa haga el mantenimiento de la web; una empresa vaya a prestarnos un servicio de tratamiento de datos y en consecuencia va ya a tener acceso a la información que hay en nuestra base de datos, por ejemplo, para normalizar la base de datos. En todos estos casos, será necesario firmar un contrato de tratamiento de datos. Dicho contrato está regulado en el artículo 12 de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal y en los artículos 20, 21 y 22 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.