Guía de Implementación del Marco de Ciberseguridad 5.0

PD.8 Derechos de los titulares de los datos

Requisito PD.8Derechos de los titulares de los datos
ObjetivoGarantizar los derechos por parte de los titulares de los datos.
Controles

Nivel 1

  • PD.8-1: se reciben y atienden las solicitudes relacionadas con los derechos sobre datos personales de los usuarios.
  • PD.8-2: se han gestionado respuestas a solicitudes de titulares dentro del plazo legal.

Nivel 2

  • PD.8-3: se encuentra asignado personal encargado de recibir, procesar y responder las solicitudes vinculadas a los derechos de los titulares.
  • PD.8-4: las solicitudes y su tratamiento son registrados.

Nivel 3

  • PD.8-5: existe un procedimiento formal de gestión de las solicitudes de derechos de los titulares que contempla todos los derechos mencionados en la normativa (Información, Acceso, Actualización y Rectificación, Inclusión, Supresión, Impugnación de Valoraciones Personales)
  • PD.8-6: se encuentra definido un procedimiento para verificar la identidad del solicitante del derecho.
  • PD.8-7: los procedimientos para ejercer los derechos son difundidos a los titulares de los datos, el personal y terceras partes interesadas.

Nivel 4

  • PD.8-8: se definen indicadores sobre el procedimiento de gestión de solicitudes de derechos.
  • PD.8-9: se revisa periódicamente el procedimiento de gestión de solicitudes de derechos, se registran los desvíos o puntos de mejora.
  • PD.8-10: se implementan las mejoras al procedimiento de gestión de solicitudes de derechos en base a las revisiones periódicas.
Guía de implementación

La organización debe permitir ejercer el derecho de acceso a los titulares de manera gratuita cada seis meses. La organización tendrá un plazo de respuesta de cinco días hábiles a contar de la solicitud, por los medios que se hayan indicado. En caso de falta de respuesta se habilita la acción de Habeas Data o la denuncia ante el órgano de control (URCDP).

Derecho de información: obliga a informar de manera clara y precisa al titular de los datos sobre el propósito del tratamiento, la obligatoriedad de responder, las consecuencias de proveer datos o no, cualquier transferencia internacional de datos, y los criterios de tratamientos automatizados.

Derecho de Acceso: permite a cualquier persona, previa acreditación de identidad, acceder a la información sobre sí misma que posea el responsable del tratamiento.

En el caso de personas fallecidas, el ejercicio del derecho de acceso corresponderá a cualquiera de sus sucesores universales, que acrediten debidamente esta calidad.

Derecho de Actualización y Rectificación: otorga al titular el derecho de modificar sus datos personales que resulten inexactos o incompletos a la fecha de ejercicio del derecho.

Derecho de Inclusión: faculta al titular para ser incluido en una base de datos cuando demuestre un interés legítimo o fundado, especialmente si la inclusión representa un beneficio para él.

Derecho de Supresión: permite solicitar la eliminación de datos cuyo tratamiento resulte ilegítimo, o sean inadecuados o excesivos, salvo cuando deban conservarse por razones históricas, estadísticas, científicas, o en el marco de relaciones contractuales que justifiquen su tratamiento.

Se procede la eliminación o supresión de datos personales en los siguientes casos:

  • Perjuicios a los derechos e intereses legítimos de terceros.
  • Notorio error.
  • Contravención a lo establecido por una obligación legal.

Derecho a la Impugnación de Valoraciones Personales: protege contra decisiones basadas únicamente en el tratamiento automatizado de datos destinadas a evaluar aspectos de la personalidad del individuo, como su rendimiento laboral, crédito, fiabilidad, conducta, entre otros, y que tienen efectos jurídicos significativos sobre él. Ofrece al titular de los datos la posibilidad de impugnar tales actos o decisiones, garantizando el derecho a ser informado sobre los criterios de valoración y el programa utilizado en el tratamiento que fundamenta la decisión.

Instituciones de saludEn caso de que una persona cambie de institución o de sistema de cobertura asistencial, la nueva institución o sistema deberá recabar de la o del de origen la historia clínica completa del usuario. El costo de dicha gestión será de cargo de la institución solicitante y la misma deberá contar previamente con autorización expresa del usuario.
Instituciones Emisoras de Dinero Electrónico (IEDE)No aplica
Guía de evidencia para auditoría● Procesos y procedimientos que permiten a los titulares hacer ejercicio de sus derechos.
● Documento de solicitud de accesos a la información realizadas y procesadas para que pueda validarse que se cumple con los plazos correspondientes.
Normativa asociada● Ley N° 18.331: Protección de datos personales y habeas data 
● Normativa complementaria y concordante.

Etiquetas