Consentimiento
- Ya sea HITRUST, GDPR, CCPA o cualquier otra regulación; todas indican que las organizaciones no pueden almacenar los datos personales de sus clientes sin un consentimiento por escrito emitido por el cliente o consumidor.
- Existen diferentes métodos para satisfacer este requerimiento, por ejemplo:
- En los países donde se exige que el consentimiento sea entregado en físico o copia impresa, las organizaciones pueden implementar enlaces de descarga de formularios. De esta manera los clientes podrán descargar, leer, firmar y luego brindar su consentimiento de manera manual.
- El otro método consiste en implementar una página de exención de responsabilidad que cubra todos los términos necesarios para el consentimiento con respecto al almacenamiento de datos o cookies del sitio web. A su vez se debe incluir una casilla de verificación en la que una vez el cliente haga clic, sirva como consentimiento formal del usuario. Este es el método más aceptado e implementado.
- Se recomienda que los términos incluyan los parámetros exactos de los datos PII que serán capturados y almacenados. También deben incluir una guía acerca de cómo se protegerán los datos y un breve resumen que enuncie los controles que garantizarán que la información se almacenara con integridad intacta y sin pérdida de acceso no autorizado o robo.
- La organización también debe garantizar que los datos no se compartirán con otras entidades sin el consentimiento explicito de los clientes para los mismos.
- La organización debe contar con un plan interno que este bien documentado e implementado para garantizar la seguridad y protección de datos PII que estarán almacenados y en reposo dentro del entorno organizacional.
- La política de retención de datos y las directrices basadas en la regulación, las leyes y otros requisitos in situ también deben documentarse e implementarse.
Derecho a ser Olvidado
- Si un cliente le brinda su consentimiento a una organización, esto no significa que la organización tenga el derecho absoluto de conservar sus datos para siempre.
- Los clientes tienen el derecho a ejercer su “Derecho a ser olvidado”, en otras palabras, esto significa que los clientes pueden solicitarle a las organizaciones que eliminen todas y cada una de sus referencias de datos PII dentro de la organización.
- El artículo 17 de GDPR es el “Derecho a ser olvidado” y es probablemente uno de los artículos más comentados de la regulación.
- Las organizaciones deben asegurarse de tener un enlace en su sitio web o una dirección de correo electrónico para que cualquier pueda ejercer su “Derecho a ser olvidado”
- Toda organización debe contar con lo siguiente para responder a dicha solicitud:
- Respuesta automatizada o manual a los clientes acusando recibido de la solicitud e informando el cronograma previsto en el que se llevara a cabo el borrado.
- Tener una política y un procedimiento documentado para identificar y obtener todos los datos vinculados a un individuo en específico del almacenamiento activo, así como del almacenamiento de respaldo.
- Tener una política y un procedimiento documentado para la eliminación segura de estos datos de PII, de modo que no se puedan recuperar posterior a su eliminación.
- Procedimientos de comunicación post-eliminación con el fin de informarles a los clientes acerca de la exitosa eliminación de sus datos.