Cumplimiento de procesos de respuesta a terceros
Descripción y objetivo
Al igual que con los procesos clave mencionados anteriormente, la normativa de protección de datos obliga a dar una adecuada cobertura a ciertos procesos iniciados por terceros que conllevan la resolución en plazos, como son el de ejercicio de derechos, gestión de violaciones de seguridad o el proceso de reclamaciones recibidas por la autoridad de control. El objetivo es estandarizar estos procesos tanto en la parte del Responsable del Tratamiento (RT) como en el soporte prestado desde el Servicio centralizado, de cara a garantizar los derechos y libertades de los ciudadanos.
Buena práctica
Como parte de este trabajo de estandarización y cumplimiento de los procesos de respuesta a terceros, debemos tener en cuenta que dichos procesos deben encontrarse formalizados y bien gestionados, de cara a que la respuesta se proporcione en plazos y sea adecuada y pertinente a la comunicación recibida. Para ello, se deberían tener en cuenta los siguientes requisitos:
- Formalizar el procedimiento de ejercicio de derechos, donde figuren las diferentes partes del proceso (recepción, registro, validación, gestión y respuesta) así como las responsabilidades del RT y la posible intervención del Servicio centralizado.
- Formalizar el procedimiento de violaciones de seguridad, donde figuren las diferentes partes del proceso (identificación, detección, notificación, valoración, registro, seguimiento, contención, resolución y notificación a la autoridad de control e interesados) así como las responsabilidades del RT y la posible intervención del Servicio centralizado.
- Formalizar el procedimiento de reclamaciones recibidas de la autoridad de control o el interesado, donde figuren las diferentes partes del proceso (recepción, registro, validación, gestión y respuesta) así como las responsabilidades del RT, y la posible intervención del Servicio centralizado.
- Disponer de herramientas automáticas que permitan registrar y gestionar los plazos de cada uno de estos procedimientos.
Ejemplos de implantación
Como ejemplo de esta buena práctica, los procedimientos podrían implantarse con la siguiente organización:
- Ejercicio de derechos: Estandarizar el proceso de recepción, ya sea a través del RT o través de la Ventanilla Única, trasladando la petición a Soporte Especializado del Servicio. Soporte procederá a la validación de la petición y a su redirección hacia los destinos más adecuados para resolver la petición, en función del derecho ejercido, realizando el seguimiento según los plazos asociados y respondiendo a través del mismo medio utilizado por el interesado.
- Violaciones de seguridad: Debido a la criticidad y los plazos ajustados de este proceso, se podría realizar en dos etapas: la primera, de recepción y canalización hacia Soporte Especializado del Servicio, una vez se ha detectado o notificado el incidente. En paralelo a los procesos de contención del incidente, Soporte procederá al registro y recopilación de la mínima información necesaria para valorar en primera instancia la necesidad de notificar o no a la autoridad de control e interesados (en cuyo caso, se recopilaría adicionalmente el resto
de información necesaria para abrir la notificación en los plazos establecidos). Posteriormente, se iniciarían los procesos de gestión, seguimiento, resolución y notificación del incidente.
- Reclamaciones: Estandarizar el proceso de recepción, ya sea a través del RT o través de la Ventanilla Única , trasladando la petición a Soporte Especializado del Servicio. Soporte procedería a la validación de la petición y a su redirección interna, realizando el seguimiento según los plazos asociados y respondiendo a través de los medios establecidos.