Política de Gestión de Derechos de los Interesados

La Política de Gestión de Derechos de los Interesados establece el enfoque obligatorio de la organización para gestionar solicitudes de los interesados o de sus representantes autorizados. Su alcance cubre todo el ciclo de vida de la gestión de solicitudes de derechos: recepción y registro, validación, evaluación, cumplimiento, rechazo, ampliación, cierre, supervisión y evidencia de las solicitudes. Se aplica al acceso, rectificación, supresión, limitación, portabilidad, oposición, toma de decisiones automatizada, enrutamiento de retirada del consentimiento, reclamaciones y consultas relacionadas. La política está diseñada para contextos de responsable del tratamiento, corresponsable del tratamiento, encargado del tratamiento y subencargado del tratamiento, y las funciones del encargado del tratamiento y del subencargado del tratamiento se aplican cuando se presta asistencia a un responsable del tratamiento, cliente o encargado del tratamiento ascendente conforme a instrucciones documentadas. La finalidad de la política es garantizar que las solicitudes de derechos de los interesados se gestionen de forma coherente, lícita, segura, dentro de plazos definidos y con evidencias preparadas para auditoría. Requiere que cada solicitud se registre en REG06 en el plazo de dos días hábiles desde su recepción y se clasifique antes de iniciar la evaluación. Los campos de clasificación requeridos incluyen tipo de solicitud, canal de solicitud, fecha de solicitud, referencia de identidad del solicitante, propietario asignado, fecha límite interna, fecha límite legal o contractual y estado actual. Para los responsables del tratamiento, el Responsable de Privacidad / Responsable del PIMS debe acusar recibo o facilitar la siguiente comunicación requerida en el plazo de cinco días hábiles desde la recepción y registro. Las solicitudes también deben vincularse a las actividades de tratamiento REG02 pertinentes antes de asignar acciones de cumplimiento, garantizando que las decisiones de respuesta se basen en registros de tratamiento, finalidades, categorías de datos personales, sistemas, destinatarios y restricciones de conservación. Un énfasis operativo importante es la verificación de identidad y la evaluación segura. Antes de divulgar datos personales o realizar los cambios solicitados, el Responsable de Privacidad / Responsable del PIMS debe verificar en REG06 la identidad del solicitante o la autoridad del representante. Cuando la identidad o la autoridad sea insuficiente, solo podrá solicitarse la información adicional mínima necesaria para la verificación. La política asigna las solicitudes de alto riesgo, disputadas, poco claras, excesivas, repetidas, rechazadas o cumplidas parcialmente al Delegado de Protección de Datos / Asesor de Privacidad para su revisión antes de comunicar la decisión. También requiere que el Propietario del sistema / Propietario de la aplicación revise los extractos de respuesta para excluir datos personales no relacionados y datos no autorizados de terceros, y que el Responsable de Seguridad de la Información revise los métodos de entrega antes de divulgar datos personales de gran volumen, sensibles, de categorías especiales o de alto riesgo. Los requisitos de cumplimiento son específicos según la naturaleza del derecho. Los responsables de negocio deben proporcionar los resultados de búsqueda de acceso no más tarde de diez días hábiles antes de la fecha límite de respuesta. Los propietarios de sistemas deben completar las acciones aprobadas de rectificación, supresión, limitación o exclusión y registrar las evidencias de finalización en REG06. Los paquetes de respuesta de acceso y portabilidad deben entregarse mediante un método autorizado, con evidencias de entrega registradas antes del cierre. Las solicitudes de oposición deben evaluarse y registrarse antes de que el tratamiento impugnado continúe o se detenga. Las solicitudes que impliquen decisiones exclusivamente automatizadas requieren revisión antes de que la organización proporcione un resultado, una vía de revisión humana o una justificación de rechazo. Cuando los resultados aprobados requieran notificación a encargados del tratamiento, subencargados del tratamiento, corresponsables del tratamiento, destinatarios o partes de intercambio de datos registrados en REG08, el Responsable de Proveedores / Adquisiciones debe coordinar dicha notificación. La política también define requisitos de gobernanza, medición, excepciones y aplicación. El Responsable de Privacidad / Responsable del PIMS es propietario del flujo de trabajo de solicitudes de derechos, la estructura de REG06, los plazos, las reglas de asignación y los criterios de cierre, con revisión al menos anual y actualizaciones tras un cambio material. Las métricas incluyen la medición mensual de solicitudes por tipo, estado, responsable de negocio y actividad de tratamiento, informes mensuales de elementos vencidos, medición trimestral de tasas de rechazo, cumplimiento parcial y ampliación, y revisión trimestral de temas recurrentes, reclamaciones, disputas y acciones correctivas. Las auditorías planificadas deben muestrear registros REG06 cerrados y registrar en REG12 los hallazgos sobre calidad de las evidencias, puntualidad y cierre. Las excepciones deben aprobarse en REG12 antes de su implementación, con fechas de caducidad, propietarios y controles compensatorios asignados. Las disposiciones de aplicación requieren no conformidades, escalado de la falta de cooperación de terceros, asignación por la dirección de la propiedad de acciones correctivas para fallos sistémicos y revisión REG10 cuando una no conformidad sugiera divulgación no autorizada, pérdida, alteración, indisponibilidad u otro posible incidente de datos personales.