Hoy tocan estudiar el cumplimiento de los controles correspondientes al Ejercicio de Derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO). De acuerdo con el supuesto planteado para nuestra clínica ficticia, el informe de auditoría quedaría algo así como lo siguiente:
Se trata de derechos cuyo ejercicio es personalísimo, de carácter gratuito y sujetos a plazo. Por tanto es necesario establecer procedimientos para su satisfacción.
Deben tenerse como mínimo en cuenta los criterios que se indican a continuación:
DERECHO DE ACCESO
- Resolución : Su denegación debe motivarse y procede indicar que cabe invocar la tutela de la Agencia Española de Protección de Datos.
- Justificación : Debe indicarse el dato a cancelar y la causa que lo justifica, aportando documentación.
- Plazo : 10 días hábiles.
DERECHO DE RECTIFICACIÓN
- Resolución : Su denegación debe motivarse y procede indicar que cabe invocar la tutela de la Agencia Española de Protección de Datos.
- Justificación: Debe indicarse el dato a rectificar y la causa que lo justifica, aportando documentación.
- Plazo: 10 días hábiles
DERECHO DE CANCELACIÓN
- Resolución : Su denegación debe motivarse y procede indicar que cabe invocar la tutela de la Agencia Española de Protección de Datos.
- Justificación : Debe indicarse el dato a cancelar y la causa que lo justifica, aportando documentación.
- Plazo : 10 días hábiles.
DERECHO DE OPOSICIÓN
- Resolución : Su denegación debe motivarse y procede indicar que cabe invocar la tutela de la Agencia Española de Protección de Datos.
- Justificación : Concurrencia de un motivo legítimo y fundado, referido a su concreta situación personal,que lo justifique, siempre que una Ley no disponga lo contrario.
- Basta con ejercer el derecho cuando se trate de datos utilizados con fines de publicidad o prospección comercial.
- Cabe oposición a las decisiones basadas únicamente en un tratamiento automatizado de datos, aunque el tratamiento es posible si existe una relación contractual que lo justifique.
- Plazo : 10 días hábiles.
Se han verificado los siguientes puntos de control respecto de los derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO), obteniendo las siguientes respuestas.
Cuando se satisface un derecho de acceso efectivamente debe contestarse en cualquier caso en el plazo máximo de un mes, se tenga o no datos. Tenga en cuenta que el objeto de este derecho se limita a los datos objeto de tratamiento y que dispone de un plazo de 10 días hábiles para hacerlo efectivo.
Se Actúa correctamente ante el ejercicio de un derecho de rectificación o cancelación. No olvide que debe contestar siempre a los ciudadanos cuando ejerciten sus derechos con independencia de que se tengan datos personales o no en los ficheros, dentro del plazo previsto de 10 días hábiles. Si se deniega la petición deberá motivarlo, indicar la razón de la denegación, e informar al afectado que podrá invocar la tutela de la Agencia Española de Protección de Datos.
Su organización atiende las peticiones relativas al derecho de oposición en el plazo previsto. Recuerde el plazo se mide en días hábiles. Si el derecho se denegase deberámotivarlo, indicar la razón de la denegación, e informar al afectado que podrá invocar la tutela de la Agencia Española de Protección de Datos.
Se atienden correctamente las peticiones de revocación del consentimiento para el tratamiento de los datos. Recuerde que el consentimiento para el tratamiento de los datos podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.
Auditoria LOPD (I)
Auditoría LOPD (II). Pertinencia
Auditoría LOPD (III): Objeto y Alcance de la Auditoría
Auditoria LOPD (IV): Identificación de Ficheros y Tratamientos
Auditoría LOPD (V). Información y Consentimiento
Auditoría Lopd (VI): Derechos ARCO
NOTA IMPORTANTE: Esta “supuesta” auditoría se basa en un supuesto concreto y no debe ser tomada como modelo para evaluar el cumplimiento de ninguna clínica real, el objeto de la serie de artículos es difundir, ilustrar y poner de manifiesto aspectos de cumplimiento legal, así como un acercamiento a las metodologías de auditoría para arrojar un poco de transparencia y desmitificar un poco su complejidad.
UNA AUDITORÍA REAL SIEMPRE ES ÚNICA Y DISEÑADA ESPECÍFICAMENTE PARA LA ORGANIZACIÓN QUE SE AUDITA.
REFERENCIAS:
La metodología utilizada para la realización de esta auditoría esta basada en estándares y buenas prácticas de nacionales e internacionales propuestos por organismos tales como:
ISACA : InformationSystemsAuditandControl Association(http://www.isaca.org/)
CCN: Centro Criptológico Nacional (https://www.ccn-cert.cni.es/)
Muchos de los textos incluidos en los artículos proceden la herramienta “EVALUA” de la Agencia Española de Protección de Datos (https://www.agpd.es/) y todas las preguntas relativas a cumplimiento de la LOPD proceden de dicha herramienta.
EVALUA es una herramienta de autoevaluación desarrollada por la propia AEPD para que los responsables de los ficheros puedan hacerse una idea del nivel de cumplimiento sobre la LOPD y el Reglamento de Medidas de Seguridad RD 1720/2007. La herramienta EVALUA genera un informe de auditoría en base a un cuestionario totalmente confidencial haciendo propuestas de medidas a adoptar para adecuarse al cumplimiento legal en materia de protección de datos.
Todas las preguntas relativas al cumplimiento de las medidas de seguridad (RD 1720/2007) están basadas en la Guía de Seguridad de Datos publicada por la AEPD en 2008.
Todas las tablas de Medidas Correctoras han sido elaboradas basándome en la Guía de Seguridad de las TIC (CCN-STIC- 400) del Centro Criptológico Nacional.
Todas las Medidas Correctoras propuestas son cosecha propia basándome en mi experiencia.
Puzzle Bobble
Karate Blazers
Puzzle De Bloques
Magical Cat Adventure