¿Por qué este tema es relevante para mi organización?

El comportamiento humano es la causa más frecuente de incidentes de seguridad. Conocer y concienciar sobre este tema reduce el riesgo de forma directa y demostrable.

¿Cómo ayuda 2LRN4 con este tema?

2LRN4 enlaza este tema con un módulo formativo basado en riesgos, una simulación de phishing opcional e informes, para que pueda demostrar el cumplimiento ante supervisores y consejo.

¿Basta con una formación de concienciación o hace falta más?

La formación es una pieza necesaria pero no un escudo completo. Combínela con medidas técnicas (MFA, filtrado de correo), procedimientos y cultura de notificación para una protección óptima.

¿Qué hacer ante una solicitud de privacidad de un cliente o compañero?

Un día sucede: un cliente, un candidato o un compañero pregunta qué datos tenéis sobre él, o quiere que los modifiquéis o borréis. Es una solicitud de ejercicio de derechos, y el RGPD da a las personas el derecho a presentarla. No tienes que resolverla jurídicamente tú mismo, pero sí debes reconocerla y derivarla bien. Este artículo explica esos derechos y qué haces cuando una solicitud así te llega.

Los derechos de los interesados, en breve

El RGPD da a las personas varios derechos sobre sus propios datos. Los principales que encuentras en la práctica:

Acceso: alguien puede pedir qué datos tienes sobre él y para qué los usas.
Rectificación: si los datos no son correctos, puede pedir que los corrijas.
Supresión: en ciertos casos puede pedir que borres sus datos (el "derecho al olvido").
Oposición: puede oponerse a determinados usos de sus datos.
Portabilidad: en algunos casos puede recibir sus datos en un formato reutilizable.

¿Cómo reconoces una solicitud de privacidad?

Una solicitud de privacidad rara vez llega bien etiquetada como "solicitud RGPD". Puede ser un correo normal ("¿pueden borrar mis datos?"), un comentario por teléfono, o una pregunta a través de un formulario de contacto o las redes sociales.

Por eso reconocerla es importante. En cuanto alguien pregunta algo sobre sus propios datos, qué tienes, si pueden desaparecer, si son correctos, es una solicitud de privacidad, aunque nunca use esa palabra.

¿Qué haces cuando te llega?

Lo más importante: no intentes resolverla tú mismo, sino derívala de inmediato a la persona adecuada. En la mayoría de las organizaciones es el delegado de protección de datos o un punto de contacto central. Ellos conocen los pasos y plazos aplicables.

¿Por qué derivar y no hacerlo uno mismo? Porque una solicitud lleva aparejados requisitos legales y plazos. Una organización debe responder, en principio, en el plazo de un mes, y primero debe verificar la identidad del solicitante. Así que nunca facilites datos por tu cuenta, por amable que parezca la solicitud.

La trampa: facilitar datos a la persona equivocada

Una solicitud de privacidad también puede ser un método de ataque. Un estafador se hace pasar por cliente y pide "todos mis datos", esperando que un empleado servicial los envíe sin comprobar. Así se abusa del derecho de acceso para hacerse con datos.

Por eso la verificación de identidad acompaña a cada solicitud, y derivar al equipo adecuado no es burocracia, sino protección. Trata una solicitud con seriedad y con cautela: con seriedad porque es un derecho, con cautela porque no entregas datos sin más a un desconocido.

Un plan de pasos sencillo

Cuando recibas una solicitud de privacidad, sigue estos pasos:

Reconócela: ¿la pregunta trata de los propios datos de una persona? Entonces es una solicitud.
No facilites ningún dato por tu cuenta ni confirmes detalles.
Derívala de inmediato al delegado de protección de datos o al punto de contacto central.
Anota la fecha y el contenido, para que el plazo empiece en el momento correcto.
¿Dudas de si es una solicitud? Por seguridad trátala como tal y confírmalo.

Cómo anclar esto en tu programa de concienciación

Muchos empleados no saben que una pregunta corriente puede ser una solicitud de privacidad. En tu programa, muestra de forma concreta cómo es una solicitud así y, sobre todo, deja claro que derivar es el reflejo correcto, no resolverla uno mismo.

Combínalo con una única vía de derivación conocida. Cuanto más claro esté adónde debe ir una solicitud, menor es el riesgo de que alguien entregue datos a la persona equivocada por querer ayudar.

FAQ

¿Debo gestionar yo mismo una solicitud de privacidad?

No. Derívala de inmediato al delegado de protección de datos o al punto de contacto central. Una solicitud conlleva plazos legales y verificación de identidad que ellos gestionan correctamente.

¿En qué plazo debe responder una organización?

En principio, en el plazo de un mes desde su recepción. Para solicitudes complejas o numerosas ese plazo puede ampliarse, pero hay que comunicárselo al solicitante. Por eso cuenta el momento de recepción; anótalo.

¿Y si dudo de que alguien sea quien dice ser?

Entonces no facilites ningún dato. La verificación de identidad acompaña a cada solicitud; los estafadores abusan precisamente del derecho de acceso para obtener datos. Deriva la solicitud y el equipo adecuado se encargará de verificar.

¿Cuenta también una solicitud por redes sociales o teléfono?

Sí. Una solicitud de privacidad no tiene forma obligatoria; puede llegar por correo, teléfono, formulario o redes sociales. En cuanto alguien pregunta sobre sus propios datos, trátala como solicitud y derívala.

¿Puede alguien exigir siempre la supresión de sus datos?

No siempre. El derecho de supresión se aplica en ciertos casos, pero a veces una organización debe o puede conservar datos, por ejemplo por una obligación legal de conservación. El delegado de protección de datos lo valora caso por caso.