Las leyes de privacidad de datos en la UE y el Reino Unido establecieron el derecho de las personas a averiguar qué información personal tienen las organizaciones sobre ellas, pero las organizaciones no siempre son oportunas para responder a las solicitudes de acceso de los sujetos. Jonathan Armstrong y André Bywater de Cordery analizan las acciones recientes en el Reino Unido y exploran métodos para garantizar que las empresas sigan cumpliendo con las solicitudes de datos de los consumidores.
El RGPD de la UE y el Reino Unido (y la Ley de protección de datos del Reino Unido de 2018 en el Reino Unido) permiten a las personas realizar solicitudes de acceso sujeto (SAR) a las organizaciones para obtener información sobre los datos personales que las organizaciones tienen sobre ellos, sujeto a ciertas excepciones.
Una vez que se recibe un SAR, una organización generalmente debe proporcionar la información solicitada sin demora y, a más tardar, dentro del mes siguiente a la recepción de la solicitud. Sin embargo, si un SAR es complejo o la persona ha realizado numerosas solicitudes, la organización puede extender el período de cumplimiento por otros dos meses, pero debe informar a la persona de la extensión dentro del mes siguiente a la recepción de la solicitud y explicar por qué la extensión. es necesario.
Las personas agraviadas pueden presentar una queja oficial ante la Oficina del Comisionado de Información (ICO, por sus siglas en inglés) sobre el manejo de un SAR por parte de una organización, y la ICO determinará si la organización está violando la ley, así como qué medidas se tomarán contra la organización.
Acciones recientes de ICO
Después de realizar investigaciones, la ICO determinó que siete organizaciones del Reino Unido no cumplieron repetidamente con el plazo de respuesta SAR correspondiente. Como resultado, en muchos casos, las personas que elaboraban los SAR habían sufrido una angustia considerable.
Las siete organizaciones fueron identificadas luego de una serie de quejas en relación con múltiples fallas en responder a los ROS para copias de información personal recopilada y procesada por estas organizaciones, ya sea dentro de los plazos legales o en absoluto.
El ICO emprendió acciones regulatorias contra las siguientes organizaciones:
El ICO ha ordenado a estas organizaciones que realicen mejoras entre tres y seis meses o se enfrenten a otras posibles acciones de aplicación.
Conclusiones clave
Entregar un SAR dentro del plazo legal puede ser un desafío, pero es una obligación de cumplimiento que una organización debe cumplir. De lo contrario, puede enfrentar una investigación regulatoria, que consumirá recursos, y puede enfrentar una acción regulatoria, según el resultado de las investigaciones. Las personas también podrían buscar una compensación financiera de organizaciones en las que los SAR de esas personas no se hayan manejado adecuadamente y, en consecuencia, experimentaron angustia.
Para apuntar al cumplimiento, las organizaciones deben:
Fuente:corporatecomplianceinsights.com