Política DSRRM y RGPD

Política de la Academia EITCA sobre la gestión de solicitudes de derechos de los interesados y el Reglamento general de protección de datos

Este documento especifica la Política del Instituto Europeo de Certificación de TI sobre la Gestión de Solicitudes de Derechos de Interesados, así como la implementación del Reglamento General de Protección de Datos de la UE, que se revisa y actualiza periódicamente para garantizar su eficacia y relevancia. La última actualización de la Política de RGPD y Gestión de solicitudes de derechos de los interesados de EITCI se realizó el 10 de enero de 2023. Nuestra Política de RGPD y Gestión de solicitudes de derechos de los interesados se basa en los principios de la extensión del Sistema de gestión de información de privacidad ISO 27701 a la Seguridad de la información ISO 27001 estándar del sistema, así como sobre los requisitos del Reglamento General de Protección de Datos (2016/679).

Parte 1. Introducción

La gestión de las solicitudes de derechos de los interesados es una parte esencial para garantizar el cumplimiento de las normas de protección de datos, a saber, el RGPD (Reglamento General de Protección de Datos de la UE). El Instituto Europeo de Certificación TI definió los siguientes procedimientos formales para gestionar las solicitudes de derechos de los interesados e implementar los requisitos del RGPD:

1.1. Establecimiento de un proceso para gestionar las solicitudes de derechos de los interesados

Este proceso describe los pasos que sigue el Instituto Europeo de Certificación de TI al manejar las solicitudes de derechos de los interesados, incluida la identificación y autenticación del interesado, la verificación de la solicitud del interesado y la respuesta a la solicitud.

1.2. Designación de un Delegado de Protección de Datos (DPO)

El Instituto Europeo de Certificación de TI designa un DPO que es responsable de supervisar la gestión de las solicitudes de derechos de los interesados, incluida la revisión de las solicitudes, la respuesta a las solicitudes y garantizar el cumplimiento de las normas de protección de datos.

1.3. Mantener un registro actualizado de datos personales.

El Instituto Europeo de Certificación TI mantiene un registro actualizado de los datos personales que posee y los fines para los que se procesan. Esto permitirá que el Instituto Europeo de Certificación de TI responda de manera rápida y precisa a las solicitudes de derechos de los interesados.

1.4. Proporcionar información clara y concisa a los interesados

Al recopilar datos personales, el Instituto Europeo de Certificación de TI proporciona información clara y concisa a los interesados sobre sus derechos, incluido el derecho a acceder, rectificar, borrar y oponerse al procesamiento de sus datos personales.

1.5. Establecimiento de un tiempo de respuesta estándar

El Instituto Europeo de Certificación de TI mantiene un tiempo de respuesta estándar para las solicitudes de derechos de los interesados y garantiza que las solicitudes se respondan dentro de este plazo.

1.6. Verificación de la identidad del interesado

El Instituto Europeo de Certificación de TI verifica la identidad del interesado que realiza la solicitud para garantizar que los datos personales solo se proporcionen a la persona correcta.

1.7. Responder a las solicitudes de derechos de los interesados con prontitud

El Instituto Europeo de Certificación de TI responde a las solicitudes de derechos de los interesados con prontitud y proporciona al interesado la información que ha solicitado.

1.8. Documentación de las solicitudes de derechos de los interesados

1.9. Seguimiento y revisión del proceso.

El Instituto Europeo de Certificación de TI supervisa y revisa regularmente su proceso para gestionar las solicitudes de derechos de los interesados para garantizar que sigue siendo eficaz y cumple con las normas de protección de datos pertinentes.

1.10. Establecimiento del registro de actividades de procesamiento

El Instituto Europeo de Certificación de TI mantiene el Registro de actividades de procesamiento, que es un documento que describe el procesamiento de datos personales llevado a cabo por la organización. Es requerido por el Reglamento General de Protección de Datos de la UE (GDPR) y está destinado a apoyar la comprensión de las actividades de procesamiento de datos y demostrar el cumplimiento del GDPR.

Al seguir estos procedimientos formales, el Instituto Europeo de Certificación de TI puede gestionar de manera efectiva las solicitudes de derechos de los interesados y garantizar el cumplimiento de las normas de protección de datos, incluido el Reglamento General de Protección de Datos de la Unión Europea.

Parte 2. Establecimiento de un proceso para gestionar las solicitudes de derechos de los interesados

2.1. Identificación y autenticación del interesado

El Instituto Europeo de Certificación de TI mantiene un proceso para verificar la identidad del interesado que realiza la solicitud. Esto puede incluir solicitar una identificación emitida por el gobierno, verificar los registros existentes o usar otros métodos de autenticación.

2.2. Verificación de la solicitud del interesado

Una vez establecida la identidad del interesado, el Instituto Europeo de Certificación TI deberá verificar que la solicitud es válida y se refiere a los datos personales del interesado. La solicitud también debe incluir el derecho específico que se ejerce, como el derecho a acceder, rectificar o suprimir los datos personales.

2.3. Respondiendo a la solicitud

El Instituto Europeo de Certificación de TI debe proporcionar una respuesta a la solicitud del interesado dentro del plazo especificado por las leyes de protección de datos pertinentes, pero no más de 30 días. La respuesta debe incluir una explicación de si la solicitud ha sido concedida o denegada, y las razones de la decisión.

2.4. Documentar la solicitud y la respuesta.

El Instituto Europeo de Certificación de TI mantiene un registro de todas las solicitudes y respuestas de los derechos de los interesados. Esto ayuda a garantizar el cumplimiento de las leyes de protección de datos pertinentes, así como a facilitar futuras auditorías o investigaciones.

2.5. Capacitación del personal relevante

El Instituto Europeo de Certificación de TI brindará capacitación al personal responsable de manejar las solicitudes de derechos de los interesados para garantizar que estén familiarizados con las leyes de protección de datos relevantes y los procedimientos del Instituto Europeo de Certificación de TI para manejar dichas solicitudes.

2.6. Seguimiento y revisión del proceso.

El Instituto Europeo de Certificación de TI supervisa y revisa periódicamente el proceso de gestión de las solicitudes de derechos de los interesados para garantizar que sigue siendo eficaz y cumple con las leyes de protección de datos pertinentes. Cualquier problema o incidente se informa y se aborda de manera oportuna.

Parte 3. Designación de un Delegado de Protección de Datos (DPO)

3.1. Designación del DPO

El Instituto Europeo de Certificación de TI designa un Oficial de Protección de Datos (DPO) para supervisar la gestión de las solicitudes de derechos de los interesados y garantizar el cumplimiento de las normas de protección de datos. El DPO será responsable de revisar las solicitudes y asegurarse de que el Instituto Europeo de Certificación TI cumple con sus obligaciones legales en relación con la protección de datos.

3.2. Requisitos de competencias del DPD

El DPO debe tener un conocimiento experto de las leyes y prácticas de protección de datos y contar con los recursos necesarios para cumplir con sus responsabilidades. Deben tener acceso directo a la alta dirección y reportar al más alto nivel de gestión de la organización.

3.3. Responsabilidades del DPD

Las responsabilidades del DPD incluyen, entre otras, las siguientes:

Proporcionar orientación y asesoramiento al Instituto Europeo de Certificación TI sobre cuestiones de protección de datos, incluida la gestión de las solicitudes de derechos de los interesados.
Supervisión del cumplimiento de la normativa de protección de datos y de las políticas y procedimientos internos del Instituto Europeo de Certificación TI.
Dar respuesta a las consultas y reclamaciones de los interesados en relación con sus derechos en virtud de la normativa de protección de datos.
Coordinar con otros departamentos para garantizar que los requisitos de protección de datos se cumplan en toda la organización.
Llevar a cabo revisiones y evaluaciones periódicas de las prácticas de protección de datos del Instituto Europeo de Certificación de TI y brindar recomendaciones para mejorarlas.
Servir como punto de contacto para las autoridades de protección de datos y cooperar con ellas en caso de una investigación o auditoría.
El DPO también participa en el desarrollo y la implementación de las políticas y los procedimientos del Instituto Europeo de Certificación de TI relacionados con la protección de datos, incluidos los relacionados con el manejo de las solicitudes de derechos de los interesados.

3.4. Formación y desarrollo de cualificaciones de DPO

El Instituto Europeo de Certificación TI debe asegurarse de que el RPD esté adecuadamente capacitado en las normas de protección de datos y se mantenga actualizado sobre cualquier cambio o actualización de estas normas.

3.5. Información de contacto del DPD

La información de contacto del RPD debe ponerse a disposición de los interesados e incluirse en el aviso o la política de privacidad del Instituto Europeo de Certificación de TI.

Parte 4. Mantenimiento de un registro actualizado de datos personales

4.1. Establecimiento de un proceso de identificación y registro de datos personales

El Instituto Europeo de Certificación TI establece un proceso claro y estandarizado para identificar y registrar datos personales, incluido el nombre del interesado, la información de contacto y cualquier otra información relevante. Este proceso garantiza que los datos personales se recopilen solo para fines específicos y legítimos.

4.2. Categorización de datos personales

El Instituto Europeo de Certificación de TI clasifica los datos personales para facilitar su seguimiento y gestión. Esto incluye clasificar los datos por tipo, como información de contacto, información de facturación, competencias y calificaciones, información financiera o historial laboral.

4.3. Implementación de un sistema de gestión de datos.

El Instituto Europeo de Certificación de TI implementa un sistema de gestión de datos para ayudar a garantizar que los datos personales sean precisos, actualizados y accesibles. El sistema de gestión de datos incluye una base de datos que se puede buscar y consultar para ayudar a responder a las solicitudes de derechos de los interesados.

4.4. Asignación de responsabilidad para el mantenimiento del registro de datos personales

El Instituto Europeo de Certificación TI debe asignar la responsabilidad de mantener el registro de datos personales a personas o departamentos específicos. Esto asegurará que el registro se mantenga actualizado y preciso.

4.5. Revisar y actualizar periódicamente el registro de datos personales

El Instituto Europeo de Certificación TI debe revisar y actualizar periódicamente el registro de datos personales para garantizar que siga siendo preciso y actualizado. Esto se puede hacer a través de auditorías periódicas o mediante un proceso de monitoreo continuo.

4.6. Implementar las medidas de seguridad adecuadas

El Instituto Europeo de Certificación de TI implementa medidas de seguridad adecuadas para proteger los datos personales que posee, incluidas medidas para evitar el acceso no autorizado, la pérdida accidental o la destrucción de datos personales, como parte de la Política de seguridad de la información (ISP) de la organización. Esto incluye, entre otros, cifrado, cortafuegos y controles de acceso. La política de seguridad de la información del Instituto Europeo de Certificación de TI cubre una especificación detallada de los procesos y medidas para la protección de datos.

Parte 5. Proporcionar información clara y concisa a los interesados

5.1. Transparencia

El Instituto Europeo de Certificación de TI es transparente en el procesamiento de datos personales y proporciona información concisa a los interesados sobre cómo se utilizan, procesan y almacenan sus datos.

5.2. Política de privacidad

El Instituto Europeo de Certificación de TI tiene una política de privacidad detallada que describe sus actividades de procesamiento de datos, incluida la forma en que los interesados pueden ejercer sus derechos como interesados.

5.3. Derecho de acceso

Los interesados tienen derecho a solicitar acceso a los datos personales que el Instituto Europeo de Certificación TI tiene sobre ellos. El Instituto Europeo de Certificación TI proporciona información clara y concisa a los interesados sobre cómo realizar una solicitud de acceso, qué información se requerirá para verificar su identidad y cuánto tiempo tardará el Instituto Europeo de Certificación TI en responder a la solicitud.

5.4. Derecho a Rectificar

Los interesados tienen derecho a solicitar que el Instituto Europeo de Certificación TI rectifique cualquier dato personal inexacto o incompleto que tenga sobre ellos. El Instituto Europeo de Certificación TI proporciona información clara y concisa a los interesados sobre cómo realizar una solicitud de rectificación, qué información se requerirá para verificar su identidad y cuánto tiempo tardará el Instituto Europeo de Certificación TI en responder a la solicitud.

5.5. Derecho a Borrar

Los interesados tienen derecho a solicitar que el Instituto Europeo de Certificación de TI elimine sus datos personales en determinadas circunstancias. El Instituto Europeo de Certificación TI proporciona información clara y concisa a los interesados sobre cómo realizar una solicitud de borrado, qué información se requerirá para verificar su identidad y cuánto tiempo tardará el Instituto Europeo de Certificación TI en responder a la solicitud.

5.6. Derecho a oponerse

Los interesados tienen derecho a oponerse al tratamiento de sus datos personales en determinadas circunstancias. El Instituto Europeo de Certificación TI proporciona información clara y concisa a los interesados sobre cómo realizar una solicitud de objeción, qué información se requerirá para verificar su identidad y cuánto tiempo tardará el Instituto Europeo de Certificación TI en responder a la solicitud.

5.7. Información de contacto

El Instituto Europeo de Certificación de TI proporciona información de contacto clara y concisa para que los interesados la utilicen si tienen preguntas o inquietudes sobre cómo se procesan sus datos personales.

Parte 6. Establecer un tiempo de respuesta estándar

El Instituto Europeo de Certificación de TI estableció un tiempo de respuesta estándar para las solicitudes de derechos de los interesados y garantiza que las solicitudes se respondan dentro de este plazo.

6.1. Tiempo de respuesta estándar

El Instituto Europeo de Certificación TI establece un tiempo de respuesta estándar de 30 días para las solicitudes de derechos de los interesados. El tiempo de respuesta estándar define un límite de tiempo superior para el procesamiento y la respuesta y la mayoría de las solicitudes se procesan y responden en un tiempo más corto.

6.2. Solicitar hora de acuse de recibo

Al recibir una solicitud de derechos del sujeto de datos, el RPD u otros miembros del personal acusarán recibo de la solicitud dentro de los 5 días hábiles y le proporcionarán al sujeto de datos un plazo estimado para proporcionar una respuesta.

6.3. Ampliaciones excepcionales del tiempo de respuesta estándar

El Instituto Europeo de Certificación TI hará todos los esfuerzos razonables para responder a las solicitudes de derechos de los interesados dentro del tiempo de respuesta estándar establecido. Sin embargo, si la solicitud es compleja o si el Instituto Europeo de Certificación TI recibe un alto volumen de solicitudes, el tiempo de respuesta puede extenderse. En tales casos, el DPD informará al interesado de la prórroga y el motivo de la demora.

6.4. Negativa a cumplir con una solicitud de derechos del sujeto de datos

Si el Instituto Europeo de Certificación de TI no puede cumplir con una solicitud de derechos del interesado, proporcionará al interesado una explicación de la negativa y le informará de su derecho a presentar una reclamación ante la autoridad de control pertinente.

6.5. Registros de solicitudes y respuestas de derechos de los interesados

El Instituto Europeo de Certificación de TI mantendrá registros precisos de las solicitudes y respuestas de los derechos de los interesados, incluida la fecha de recepción de la solicitud, la naturaleza de la solicitud y la fecha y forma de la respuesta.

6.6. Revisiones periódicas

El DPO revisará periódicamente los tiempos de respuesta del Instituto Europeo de Certificación TI y los actualizará según sea necesario para garantizar el cumplimiento de la normativa de protección de datos aplicable.

Parte 7. Verificación de la identidad del titular de los datos

7.1. Requisito de verificación de identidad

El Instituto Europeo de Certificación TI debe verificar la identidad del interesado que realiza la solicitud para garantizar que los datos personales solo se proporcionen a la persona correcta.

7.2. Medios y métodos de verificación de identidad

Cuando un interesado realiza una solicitud para ejercer sus derechos en virtud de las leyes de protección de datos, el Instituto Europeo de Certificación TI debe verificar la identidad del interesado utilizando las medidas apropiadas, como solicitar documentos de identificación.

7.3. Verificación de identidad de un titular de poder

Si el interesado realiza la solicitud en nombre de otra persona, el Instituto Europeo de Certificación TI debe verificar la identidad tanto del interesado como de la persona en cuyo nombre se realiza la solicitud.

7.4. Dudas de verificación de identidad

Si el Instituto Europeo de Certificación TI tiene dudas sobre la identidad del interesado o la validez de la solicitud, podrá solicitar información adicional o tomar otras medidas adecuadas para verificar la identidad del interesado.

7.5. Registros de verificación de identidad

El Instituto Europeo de Certificación TI debe llevar un registro del proceso de verificación y de las medidas adoptadas para verificar la identidad del interesado. Este registro debe conservarse durante un período de tiempo razonable y utilizarse para demostrar el cumplimiento de las leyes de protección de datos.

Parte 8. Responder a las solicitudes de derechos de los interesados con prontitud

8.1. Respuesta rápida

El Instituto Europeo de Certificación de TI responde a las solicitudes de derechos de los interesados con prontitud y proporciona al interesado la información que ha solicitado.

8.2. Solicitar acuse de recibo

El Instituto Europeo de Certificación TI acusa recibo de la solicitud del interesado a la mayor brevedad, idealmente en el plazo de 5 días laborables.

8.3. Solicitar revisión

El DPO designado debe revisar la solicitud para asegurarse de que cumple con los requisitos necesarios y que se ha proporcionado toda la información necesaria.

8.4. Verificación de la identidad del titular de los datos

El Instituto Europeo de Certificación de TI verifica la identidad del interesado que realiza la solicitud para garantizar que los datos personales solo se proporcionen a la persona correcta.

8.5. Obtener información adicional si es necesario

Si la solicitud no es clara o es insuficiente, el Instituto Europeo de Certificación TI debe ponerse en contacto con el interesado para obtener información adicional.

8.5. Recuperación de los datos relevantes

El Instituto Europeo de Certificación de TI recupera los datos personales relevantes y los revisa para garantizar que sean precisos y estén actualizados.

8.6. Proporcionar la información solicitada

El Instituto Europeo de Certificación TI proporciona al interesado la información que ha solicitado, incluida una copia de sus datos personales en un formato electrónico de uso común, salvo que se solicite lo contrario.

8.7. Informar al interesado de sus derechos

El Instituto Europeo de Certificación TI informa al interesado de sus otros derechos, como el derecho a rectificar o suprimir sus datos personales, y le proporciona las instrucciones necesarias.

8.8. Cumpliendo con el tiempo de respuesta

El Instituto Europeo de Certificación TI responde a las solicitudes de derechos de los interesados dentro del tiempo de respuesta establecido, asegurando que se toman las medidas necesarias para cumplir con la solicitud.

8.9. Documentar la respuesta

El Instituto Europeo de Certificación de TI documenta la respuesta a la solicitud de derechos de los interesados, incluidas las acciones realizadas y el tiempo de respuesta, para garantizar que se pueda auditar y rastrear con fines de cumplimiento.

8.10. Notificación al titular de los datos de cualquier cambio.

Si se realizan cambios en los datos personales del interesado como resultado de su solicitud, el Instituto Europeo de Certificación de TI notifica al interesado de estos cambios.

Parte 9. Documentación de las solicitudes de derechos de los interesados

El Instituto Europeo de Certificación TI mantiene un registro de las solicitudes de derechos de los interesados, incluida la fecha de la solicitud, la naturaleza de la solicitud y la respuesta a la solicitud. La documentación de las solicitudes de derechos de los interesados incluye los siguientes aspectos:

9.1. mantenimiento de un registro

El Instituto Europeo de Certificación de TI mantiene un registro que captura todas las solicitudes de derechos de los interesados recibidas. Este registro debe capturar los siguientes detalles:

Fecha de la solicitud
Nombre y datos de contacto del interesado
Descripción de la solicitud
Acción tomada en respuesta a la solicitud
Cualquier información adicional requerida para procesar la solicitud

9.2. Proceso estandarizado para la documentación.

El Instituto Europeo de Certificación de TI ejecuta un proceso estandarizado para documentar las solicitudes de derechos de los interesados para garantizar la coherencia y precisión en la información capturada.

9.3. Período de retención

El Instituto Europeo de Certificación de TI mantiene estos registros durante un período de tiempo razonable, según lo determinen las leyes y reglamentos aplicables, no menos de 2 años.

9.4. Mantener la confidencialidad

El Instituto Europeo de Certificación TI garantiza que los registros de las solicitudes de derechos de los interesados sean accesibles solo para el personal autorizado que tenga la necesidad de acceder a dicha información en el desempeño de sus funciones. Asimismo, implanta medidas técnicas y organizativas para evitar el acceso, divulgación, alteración o destrucción no autorizados de los datos personales contenidos en los registros de solicitudes de derechos de los interesados.

9.5. Informes

El Instituto Europeo de Certificación TI genera periódicamente informes sobre las solicitudes de derechos de los interesados recibidas, procesadas y pendientes. Estos informes se comparten con las partes interesadas relevantes, incluida la alta dirección y el DPO.

9.6. Analítica

El Instituto Europeo de Certificación de TI realiza un análisis de tendencias sobre las solicitudes de derechos de los interesados para identificar patrones y causas raíz de las solicitudes. Esta información se utiliza para mejorar los procesos y procedimientos para gestionar mejor dichas solicitudes.

Parte 10. Seguimiento y revisión del proceso

10.1. Realización de revisiones periódicas

El Instituto Europeo de Certificación de TI lleva a cabo revisiones periódicas de su proceso de gestión de solicitudes de derechos de los interesados y de la política de cumplimiento del RGPD para garantizar que sea eficaz y cumpla con las normas de protección de datos. Estas revisiones incluyen un análisis de la cantidad y el tipo de solicitudes recibidas, la puntualidad y eficacia de las respuestas y cualquier área de mejora.

10.2. Implementación de mejoras

En función de los resultados de las revisiones, el Instituto Europeo de Certificación de TI implementa las mejoras necesarias en su proceso de gestión de solicitudes de derechos de los interesados. Esto puede incluir actualizaciones de procedimientos, capacitación adicional para el personal o cambios en la forma en que se verifican y responden las solicitudes.

10.3. Garantizar el cumplimiento continuo

El Instituto Europeo de Certificación de TI garantiza el cumplimiento continuo de las normas de protección de datos revisando y actualizando periódicamente sus políticas y procedimientos de acuerdo con cualquier cambio en las leyes y normas pertinentes.

10.4. Seguimiento del desempeño del personal

El Instituto Europeo de Certificación de TI supervisa el desempeño del personal en relación con el manejo de las solicitudes de derechos de los interesados, incluida la calidad y la puntualidad de las respuestas. Esto puede incluir capacitación periódica y revisiones de desempeño para garantizar que el personal esté bien informado y sea competente en esta área.

10.5. Comunicación con los interesados

El Instituto Europeo de Certificación de TI se comunica con los interesados durante todo el proceso de gestión de solicitudes para garantizar que estén informados sobre el progreso y cualquier información relevante. Esto puede incluir proporcionar actualizaciones sobre el estado de su solicitud o solicitar información adicional según sea necesario.

10.6. mantenimiento de registros

El Instituto Europeo de Certificación de TI mantiene registros de sus revisiones, incluidos los cambios realizados en su proceso de gestión de solicitudes de derechos de los interesados, así como cualquier comentario recibido de los interesados. Esta información se puede utilizar para respaldar los esfuerzos de cumplimiento en curso y para identificar áreas para mejoras adicionales.

Parte 11. Establecimiento del registro de actividades de procesamiento

11.1. Estructura ROPA

El ROPA incluye información básica sobre el nombre y los datos de contacto de la organización, los propósitos del procesamiento de datos, las categorías de datos personales procesados, los destinatarios de los datos personales y los períodos de retención de los datos personales. También incluye información sobre los procesadores de terceros que procesan datos personales en nombre de la organización.

11.2. Actualizaciones regulares de ROPA

El ROPA se actualiza regularmente y es un documento vivo que refleja los cambios en las actividades de procesamiento de datos del Instituto Europeo de Certificación de TI que respaldan la generación de confianza con los interesados.

El Instituto Europeo de Certificación de TI se compromete a mantener los más altos estándares con respecto a su Gestión de solicitudes de derechos de sujetos de datos y Política de regulación general de protección de datos, asegurándose de cumplir con todas las leyes y regulaciones aplicables relacionadas con estos temas, así como con los principales estándares de la industria. y las mejores prácticas, incluido el Sistema de gestión de información de privacidad ISO 27701.

Academia EITCA

INICIE SESIÓN EN SU CUENTA

OLVIDÓ SU CONTRASEÑA?

CREAR UNA CUENTA