Ir al contenido principal
HubSecure
Menú

Blog

La Guía Completa sobre los Derechos de los Interesados para Pequeñas Empresas

Cuando un cliente pide ver, corregir o eliminar sus datos, tienes obligaciones legales y plazos. Esta guía explica cada derecho de los interesados, cuándo aplica y cómo construir un proceso que gestione las solicitudes sin interrumpir tu negocio.

· Por HubSecure Compliance

Un cliente envía un correo pidiendo una copia de todos los datos que tienes sobre él. Un exempleado solicita la eliminación de sus registros. Un prospecto pide que pares de enviarle marketing y elimines sus datos. Una solicitud de empleo pide ver qué datos de perfilado se usaron en la decisión.

Todas estas son solicitudes de interesados. Bajo el RGPD, tienes obligaciones legales cuando llegan — y un plazo de un mes para responder.

Los siete derechos

Derecho de acceso (Artículo 15 RGPD)

Qué es: un individuo puede solicitar una copia de todos los datos personales que tienes sobre él, junto con información sobre cómo los usas.

Qué debes proporcionar:

  • Confirmación de si tratas datos personales sobre ellos
  • Una copia de los datos personales (en formato electrónico de uso común si se solicita)
  • Los fines para los que los tratas
  • Las categorías de datos que tratas
  • Con quién los compartes
  • Cuánto tiempo los conservas
  • Información sobre sus otros derechos
  • La fuente de los datos si no se recopilaron directamente de ellos

Plazo: un mes. Extensible por dos meses para solicitudes complejas, pero debes notificarlo dentro del primer mes.

Errores comunes: respuesta incompleta (sin datos de algunos sistemas), incluir datos de otros individuos en la respuesta, no proporcionar la información complementaria requerida.

Derecho de rectificación (Artículo 16 RGPD)

Qué es: un individuo puede solicitar la corrección de datos personales inexactos o la completar datos incompletos.

Qué debes hacer: corregir la inexactitud sin demora indebida, y en un mes como máximo. Si has compartido los datos inexactos con terceros, debes informarles de la rectificación.

Cuándo puedes rechazar: no tienes que aceptar una «corrección» que hiciera tus registros inexactos — por ejemplo, si alguien pide cambiar una fecha sobre la que tienes evidencia contemporánea de que es incorrecta.

Derecho de supresión («derecho al olvido») (Artículo 17 RGPD)

Cuándo aplica:

  • Los datos ya no son necesarios para el fin para el que se recopilaron
  • El individuo retira el consentimiento (cuando el consentimiento era la base jurídica)
  • El individuo se opone al tratamiento y no hay motivos legítimos que prevalezcan
  • Los datos han sido tratados ilícitamente

Cuándo NO aplica:

  • Tratas los datos bajo una obligación legal (los registros fiscales deben conservarse un período definido)
  • El tratamiento es necesario para el establecimiento, ejercicio o defensa de reclamaciones legales

Situación práctica común: un ex-cliente solicita la supresión. Puedes eliminar sus datos de marketing y registros de contacto general. No puedes eliminar facturas y registros de pago si estás obligado legalmente a conservar registros financieros durante siete años.

Derecho a la limitación del tratamiento (Artículo 18 RGPD)

Qué es: un individuo puede solicitar que dejes de tratar sus datos (sin necesariamente eliminarlos) en circunstancias específicas.

Cuándo aplica:

  • Impugna la exactitud de sus datos — limita el tratamiento mientras verificas
  • El tratamiento es ilícito pero prefiere la limitación a la supresión
  • Ya no necesitas los datos pero los necesita para reclamaciones legales
  • Ha objetado al tratamiento y estás evaluando si tus motivos prevalecen

Derecho a la portabilidad de los datos (Artículo 20 RGPD)

Qué es: un individuo puede solicitar una copia de sus datos en un formato estructurado, de uso común y legible por máquina, y puede solicitar que los transmitas directamente a otro responsable.

Cuándo aplica: solo donde la base jurídica es el consentimiento o el contrato, y el tratamiento se realiza por medios automatizados.

Formato: el CSV generalmente es aceptable.

Derecho de oposición (Artículo 21 RGPD)

Derecho absoluto — marketing directo: si un individuo se opone al tratamiento para fines de marketing directo, debes parar inmediatamente. No hay motivos por los que puedas continuar.

Derecho cualificado — intereses legítimos: si tu base jurídica son los intereses legítimos, el individuo puede oponerse. Debes parar a menos que puedas demostrar motivos legítimos imperiosos que prevalezcan.

Derechos relacionados con la toma de decisiones automatizada (Artículo 22 RGPD)

Qué es: los individuos tienen el derecho de no estar sujetos a una decisión basada únicamente en tratamiento automatizado que les afecte significativamente.

Para PYME: la mayoría de las PYME no realizan toma de decisiones puramente automatizada que active este derecho. Si usas herramientas de IA en decisiones para clientes, revisa si la supervisión humana en tu proceso es significativa o solo formal.

Construyendo el proceso

Paso 1: Crear un canal de solicitudes designado

Establece una dirección de correo dedicada (ej. privacidad@tuempresa.com).

Paso 2: Construir un registro de solicitudes

Mantén un registro de cada solicitud recibida: fecha de recepción, tipo de solicitud, nombre del individuo, plazo, estado y resultado.

Paso 3: Redactar plantillas de acuse de recibo estándar

Prepara respuestas modelo para cada tipo de solicitud que confirmen la recepción y el plazo.

Paso 4: Mapear tus sistemas de datos

Para cada tipo de solicitud, documenta qué sistemas deben comprobarse: CRM, correo electrónico, almacenamiento en la nube, software de contabilidad, sistema de RRHH, plataforma de marketing.

Paso 5: Asignar responsabilidad

Una persona designada debe ser propietaria de las respuestas a las solicitudes de los interesados.

Paso 6: Probar el proceso

Antes de que llegue una solicitud real, realiza una prueba. Usa el nombre de un miembro del equipo y sigue el proceso de principio a fin. Las brechas reveladas en una prueba son mucho más baratas de corregir que las reveladas en una investigación de queja.

Gestión de solicitudes difíciles

Solicitudes de individuos que no puedes identificar: tienes derecho a pedir información para verificar la identidad antes de responder. Una solicitud razonable de nombre, correo y un dato confirmatorio es aceptable.

Solicitudes que revelarían datos de terceros: si responder requeriría divulgar datos de otro individuo, redacta la información de terceros antes de responder.

Solicitudes manifiestamente infundadas o excesivas: puedes cobrar una tarifa razonable o negarte. Esta excepción se interpreta de manera estricta — documenta cuidadosamente tu razonamiento.

El requisito de documentación

Cada solicitud gestionada, la decisión tomada y el resultado deben documentarse. Esta documentación es lo que presentas a una autoridad supervisora si se presenta una queja. Sin ella, la investigación procede sobre la versión del individuo de los hechos, no la tuya.