En el marco del Mes de la Protección de Datos, Constanza Pasarin nos explica los principales cambios que introdujo la Ley 21.719, publicada el 13 de diciembre de 2024, que modifica la Ley 19.628 sobre el tratamiento de datos personales.

1. ¿Qué mecanismo o procedimientos debe implementar una organización para garantizar que los titulares puedan ejercer sus derechos de manera ágil y efectiva, como lo exige la ley?

La nueva ley indica que, “los responsables de datos deberán implementar mecanismos y herramientas tecnológicas que permitan que el titular ejerza sus derechos en forma expedita, ágil y eficaz. Los medios dispuestos por el responsable deben ser sencillos en su operación.” Lo anterior, se traduce en que se deberán implementar canales de atención de los derechos, es decir, implementar un canal único para la gestión de dichas solicitudes, por ejemplo, mediante una dirección de correo electrónico, formulario o plataforma de atención. Además, este canal deberá ser accesible, conocido y claro para los titulares. Adicionalmente, se deberá establecer un protocolo interno de ejercicio de derechos “BARSOP” (bloqueo, acceso, rectificación, supresión, oposición y portabilidad). Este protocolo deberá detallar el procedimiento a seguir ante la recepción de solicitudes, por ejemplo, verificación de identidad, plazos establecidos para la respuesta, gestión interna de las mismas, entre otros aspectos relevantes. Asimismo, es importante implementar tecnología que permita identificar las fuentes de datos facilitando así acciones como la supresión, rectificación o acceso a la información. En la misma línea, es fundamental que se deje evidencia o trazabilidad de las solicitudes recibidas y gestionadas, dejando evidencia documentada que respalde el cumplimiento de las obligaciones legales.

2. ¿En qué casos específicos un titular puede solicitar el bloqueo temporal del tratamiento de sus datos personales, y cómo debe gestionarlo la empresa?

La normativa establece que, ante una solicitud de rectificación, supresión u oposición, el titular tiene derecho a requerir al responsable el bloqueo temporal de sus datos o del tratamiento que se realice, según corresponda. Esta solicitud deberá estar debidamente fundamentada, y el responsable tendrá un plazo de dos días hábiles desde su recepción para responder al requerimiento. Mientras la solicitud no sea resuelta, el responsable no podrá tratar los datos del titular involucrados en el requerimiento. Cabe destacar que el bloqueo temporal no afecta el almacenamiento de los datos por parte del responsable. En caso de que el responsable rechace la solicitud, deberá justificar su respuesta y notificar su decisión electrónicamente a la Agencia. En este escenario, el titular tiene el derecho de presentar un reclamo ante la Agencia por la decisión adoptada. Para garantizar este derecho, resulta fundamental implementar mecanismos técnicos que permitan el bloqueo temporal de la información, asegurando que esta no esté disponible para su tratamiento durante el período correspondiente. Estos mecanismos deben ser robustos y efectivos, garantizando el cumplimiento de la normativa y la protección de los derechos del titular.

3. ¿Qué acciones debe tomar una organización al recibir una solicitud de supresión de datos, especialmente si estos ya han sido compartidos con terceros?

Al recibir una solicitud de supresión de datos, una organización debe tomar las siguientes acciones, especialmente si la información ha sido compartida con terceros:

1. Verificar la identidad del solicitante: Confirmar que la persona que realiza la solicitud es el titular de los datos o cuenta con la autorización correspondiente para ello.
2. Evaluar la procedencia de la solicitud: Analizar si existen razones legales o contractuales que impidan o limiten la supresión de los datos.
3. Registrar la solicitud: Documentar la solicitud en un registro interno para fines de trazabilidad y documentación.
4. Iniciar el proceso de supresión: Identificar los sistemas, bases de datos y documentos físicos o electrónicos donde se almacenen los datos, y proceder a su eliminación de acuerdo con las políticas internas.
5. Notificar a terceros: Si los datos han sido compartidos con terceros, informarles de la solicitud de supresión y coordinar con ellos para garantizar la eliminación de los datos en sus sistemas, salvo que exista una base de licitud que justifique su conservación.
6. Comunicar el resultado al solicitante: Informar al titular de los datos sobre las acciones realizadas, especificando si los datos han sido eliminados o si existen excepciones que impidan su supresión.

Ver Video parte 1 y parte 2 completo a continuación.