Solicitud de acceso del sujeto al GDPR: No hay que descuidar la autenticaciónEn 2018, a medida que se acercaba la fecha de promulgación del GDPR del 25 de mayo, las empresas de toda Europa se apresuraron a adaptar sus prácticas de privacidad de datos a la nueva ley. Inevitablemente, decenas de empresas fueron multadas por no cumplirla. Ahora, después de casi 12 meses de que los residentes de la UE ejerzan sus nuevos derechos, el cumplimiento del GDPR se ha integrado en las políticas y prácticas de la mayoría de las empresas europeas. Pero no todas. Muchas empresas no estaban, y siguen estando, preparadas para la oleada de consumidores que ejercen sus derechos en virtud del nuevo reglamento. Según el RGPD, los residentes de la UE pueden presentar una solicitud de acceso del sujeto (SAR) a una empresa, para establecer si está recogiendo y/o procesando su información personal, y si dichos datos han sido compartidos con un tercero. Si la información personal ha sido compartida, los nombres de los terceros también deben ser revelados. Pero éstas son sólo algunas de las preguntas a las que el "interesado" puede exigir legalmente respuestas. Una vez que la empresa en cuestión ha recibido el RAS, debe cumplirlo y responder formalmente en un plazo de 30 días.
La tramitación de los RAS puede ser a menudo un problema frustrante para los responsables del tratamiento de datos, ya que se esfuerzan por atender un gran número de solicitudes, en gran parte procedentes de los clientes:
-
¿Qué es un RAS? El RGPD faculta a la persona ("sujeto de los datos") a presentar una solicitud, de la forma que considere oportuna. Puede tratarse de una carta manuscrita, una llamada telefónica, o de forma digital, como un correo electrónico o un tuit. Dado que no existe un "vehículo" estándar, a veces puede ser difícil identificar y segmentar los RAS de forma escalable. Las empresas corren el riesgo de no poder responder en el plazo legal de 30 días, o de no tomar ninguna medida.
-
Recuperación de los datos solicitados para responder con precisión a las consultas planteadas en los RAS. Según un número cada vez mayor de profesionales del cumplimiento, dedicar una cantidad desproporcionada de tiempo y recursos a responder a los RAS es totalmente ilógico a largo plazo. De hecho, varias organizaciones han buscado una orientación normativa más clara sobre si pueden cobrar legítimamente a los clientes por los RAS que consideran excesivos.
-
Autenticación de la identidad del solicitante. No se equivoquen, puede haber consecuencias desastrosas para cualquier organización que revele información personal, sin autenticar la identidad de la persona que dice ser el sujeto de los datos. Tramitar un RAS fraudulento y luego revelar información personal a un defraudador socava todo el concepto del RGPD. Las empresas deben asegurarse de que la persona que ha presentado el RAS no se hace pasar por el titular de los datos, con la intención de robar su información personal.
Autenticación de la identidad de las personas
A menudo se dan casos en los que las personas que presentan la solicitud de acceso no pueden ser autentificadas con la información que posee el responsable del tratamiento. Inevitablemente, habrá situaciones en las que una persona haya olvidado sus datos de acceso o ya no tenga acceso al correo electrónico que utilizó originalmente para crear su cuenta. En tales circunstancias, las empresas pueden considerar un enfoque basado en el riesgo, con el fin de determinar si la persona que hace el RAS es realmente el sujeto de los datos en cuestión. Si echamos la vista atrás al año pasado, podría decirse que, mientras las empresas se apresuraban a aplicar políticas y procedimientos para cumplir con el RGPD, el ingrediente vital de la verificación se barrió bajo la alfombra, ya que se aplicaron otras actualizaciones "más urgentes" a las prácticas de protección de datos. Así que, al acercarse el primer aniversario del GDPR, la importante tarea de autentificar la identidad de las personas que hacen Solicitudes de acceso de los interesados ya no se puede descuidar. Fuentes: Oficina del Comisario de Información, Trulioo