Logotipo Servicios Integrales Para Pymes
Cita online
,

Derechos de las personas: procedimiento interno y prueba de cumplimiento

Derechos RGPD: por qué no son un “trámite”

Los derechos de protección de datos no son un formulario para “salir del paso”. Son el mecanismo que permite a cualquier persona controlar qué ocurre con su información. En una pyme, gestionar bien los derechos reduce reclamaciones, refuerza la confianza y, sobre todo, demuestra responsabilidad proactiva. Gestionarlos mal suele fallar por dos motivos: falta de procedimiento y falta de evidencias.

El RGPD regula el ejercicio de derechos (arts. 12 y 15–22) y fija cómo debe responder el responsable: con claridad, dentro de plazos y con información comprensible. La LOPDGDD complementa el marco español, y en la práctica exige que el responsable implemente un modelo realista para atender solicitudes, especialmente cuando intervienen terceros (encargados) o cuando hay tratamientos complejos.

Beneficios de un procedimiento bien diseñado

  • Privacidad real, no declarativa: la persona puede acceder, rectificar o suprimir, y la empresa lo ejecuta de forma consistente.
  • Menos conflicto: cuando hay canal y tiempos claros, baja la tensión y aumenta la percepción de profesionalidad.
  • Mejor seguridad: un procedimiento sólido evita respuestas improvisadas que pueden filtrar datos a quien no corresponde.
  • Evidencias: ante una reclamación, la empresa puede demostrar cómo recibió, analizó y respondió la solicitud.

Riesgos habituales (privacidad y vulnerabilidad)

  • Respuesta al solicitante equivocado: el mayor riesgo es entregar información personal a quien no es el titular por una verificación de identidad inadecuada.
  • Exceso de datos en la respuesta: por ejemplo, volcar pantallazos completos del CRM con datos de terceros.
  • Plazos incumplidos: el RGPD establece un marco temporal claro; el retraso sin justificación agrava el problema.
  • El derecho “no se puede” sin motivación: denegar sin base o sin explicar vías alternativas incrementa la probabilidad de reclamación.
  • Dependencia del proveedor: si el encargado (CRM, email marketing, hosting) no coopera, el responsable queda igualmente expuesto.

Qué derechos hay y cómo se aplican

Los principales derechos incluyen:

  • Acceso (art. 15): conocer si se tratan datos y obtener información esencial del tratamiento; y, cuando proceda, copia de los datos.
  • Rectificación (art. 16): corregir datos inexactos.
  • Supresión (art. 17): “derecho al olvido” cuando concurre causa (por ejemplo, datos ya no necesarios, retirada de consentimiento cuando sea la base, tratamiento ilícito, etc.).
  • Limitación (art. 18): bloquear temporalmente el uso en determinados supuestos.
  • Obligación de notificación (art. 19): obligación de notificar cualquier rectificación o supresión de datos personales o limitación del tratamiento efectuada con arreglo al artículo 16, al artículo 17, apartado 1, y al artículo 18 a cada uno de los destinatarios a los que se hayan comunicado los datos personales, salvo que sea imposible o exija un esfuerzo desproporcionado. El responsable informará al interesado acerca de dichos destinatarios, si este así lo solicita.
  • Portabilidad (art. 20): cuando la base es consentimiento o contrato y el tratamiento es automatizado, facilitar los datos en formato estructurado y, si procede, transmitirlos a otro responsable.
  • Oposición (art. 21): especialmente relevante en tratamientos basados en interés legítimo o marketing.
  • No ser objeto de decisiones automatizadas (art. 22) cuando produzcan efectos jurídicos o significativamente similares, con matices y excepciones.

Además, si un tratamiento se basa en consentimiento, retirar el consentimiento debe ser tan sencillo como otorgarlo (art. 7 RGPD), y eso tiene impacto directo en la operativa (bajas en listas, CRM, preferencias, etc.).

Plazos y forma de respuesta

El RGPD establece que el responsable debe facilitar información y actuaciones sin dilación indebida y, en general, en un mes desde la solicitud, con posibilidad de ampliación en supuestos de complejidad, comunicándolo al interesado dentro del primer mes (art. 12). La clave aquí no es “contestar rápido”, sino contestar bien: con trazabilidad, proporcionalidad y claridad.

Seguridad vs privacidad: el equilibrio delicado

La gestión de derechos tiene un dilema constante:

  • Privacidad exige facilitar el derecho.
  • Seguridad exige evitar suplantaciones y filtraciones.

La solución es la verificación proporcional: comprobar identidad sin recopilar más datos de los necesarios. Por ejemplo, pedir información adicional solo cuando existe duda razonable y limitando el acceso interno a la solicitud.

¿Hay obligación de EIPD por gestionar derechos?

Normalmente no. La obligación de Evaluación de Impacto (art. 35 RGPD) depende del alto riesgo del tratamiento, no de la existencia de derechos. Sin embargo, los tratamientos con perfilado, decisiones automatizadas o gran escala suelen requerir análisis más profundo, y ahí la EIPD puede ser exigible. Lo importante es documentar la decisión (procede/no procede) y las medidas de mitigación.

Medidas de proporcionalidad (enfoque operativo)

Un procedimiento sostenible suele incluir:

  • Un canal único (correo o formulario) con confirmación de recepción.
  • Un registro interno de solicitudes y decisiones (fecha, tipo de derecho, validación, respuesta, ejecución).
  • Reglas para evitar revelar datos de terceros.
  • Coordinación con encargados (art. 28) para ejecutar supresión, exportación o bloqueo.
  • Plantillas de respuesta claras, pero adaptadas a cada caso (sin automatismos ciegos).

Atender derechos es uno de los puntos donde se ve si el RGPD está “vivo” en la empresa. Un procedimiento bien diseñado protege al interesado y protege a la organización: evita errores, mejora la seguridad y demuestra cumplimiento ante cualquier revisión.

Facebook
Twitter
LinkedIn
Email
WhatsApp
Telegram
Skype
Print
Imagen de admin
admin

Boletin informativo

Suscríbete al boletín informativo para estar al día

Por favor, antes de enviar tus datos lee la política de privacidad

Últimas publicaciones