¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a establecer un procedimiento para que tu empresa pueda atender de manera ordenada, segura y documentada los requerimientos de autoridades relacionados con datos personales.
Este procedimiento es importante porque permite definir qué hacer cuando una autoridad judicial, administrativa, fiscalizadora, regulatoria o de protección de datos solicita información que puede involucrar datos personales tratados por tu empresa.
También te ayudará a evitar respuestas improvisadas, entregas de información innecesaria o divulgaciones no autorizadas, conservando evidencia sobre cómo se recibió, analizó, respondió y cerró cada requerimiento.
¿Qué tengo que hacer? 🚀
💡Este procedimiento debe estar alineado a tus operaciones reales. El template editable contiene la estructura base para documentar el procedimiento, pero debes completarlo considerando tus canales de recepción, áreas responsables, estructura legal, tipos de datos tratados y normativa local aplicable.
Al trabajar en el template de la plataforma, te recomendamos primero leerlo en su totalidad para así comprender la información que deberás documentar posteriormente. Y para completarlo de forma adecuada, te recomendamos considerar lo siguiente:
Define cuándo debe activarse el procedimiento.
Este procedimiento debe activarse cuando tu empresa reciba un oficio, solicitud, requerimiento, fiscalización, orden judicial, comunicación regulatoria o cualquier pedido similar emitido por una autoridad que pueda involucrar datos personales.
También debe aplicarse cuando el requerimiento llegue por canales no especializados, como recepción, correo general, atención al cliente, soporte, recursos humanos o administración.
⚖️ Recomendación legal: No asumas que sólo el área legal recibirá este tipo de comunicaciones. Muchas veces los requerimientos llegan a personas o áreas que no están preparadas para responderlos. Por eso, es importante que sepan que deben escalarlo de inmediato al responsable definido.
Identifica quién debe intervenir.
El procedimiento debe dejar claro quién recibe, analiza, coordina, aprueba y responde los requerimientos (generalmente liderado por el Oficial de Protección de Datos Personales).
También debes identificar qué áreas pueden ser necesarias para apoyar la respuesta, por ejemplo Legal, Privacidad, Seguridad de la Información, Recursos Humanos, Finanzas, Soporte o Tecnología. Mientras más claro esté el rol de cada área, menor será el riesgo de responder fuera de plazo o entregar información sin validación suficiente.
Revisa el requerimiento antes de responder.
Antes de entregar información, valida que el requerimiento sea auténtico, que la autoridad tenga competencia, que el pedido tenga fundamento suficiente y que el alcance de la información solicitada sea claro.
Si el requerimiento es ambiguo, excesivo, informal o no permite confirmar su validez, lo recomendable es solicitar aclaración o revisión legal antes de responder.
⚖️ Recomendación legal: No entregues datos personales de forma automática. La respuesta debe limitarse a lo solicitado y evitar incluir información innecesaria o excesiva. Esto ayuda a cumplir con principios de proporcionalidad, confidencialidad y minimización de datos.
Documenta todo el proceso.
El objetivo no es solo responder a la autoridad, sino poder demostrar cómo se gestionó el requerimiento. Para eso, todo debe quedar registrado en tu Registro de Solicitudes sobre Datos Personales.
Debes registrar la recepción, el análisis realizado, las áreas involucradas, las decisiones adoptadas, la respuesta enviada y el cierre del caso.
Conserva copia del requerimiento, aprobaciones internas, comunicaciones relevantes, constancias de envío y cualquier evidencia relacionada.
Evalúa si corresponde notificar a terceros.
En algunos casos puede corresponder notificar al titular, cliente, responsable o encargado del tratamiento sobre el requerimiento recibido.
Sin embargo, esto debe hacerse solo cuando esté permitido por la normativa aplicable y por el propio requerimiento recibido.
⚖️ Recomendación legal: Antes de notificar a un titular o cliente, revisa si existe una obligación de confidencialidad, reserva o prohibición de informar. En algunos procedimientos (especialmente investigaciones o actuaciones reservadas), comunicar el requerimiento a terceros puede no estar permitido.
Prepara la respuesta de forma segura.
La respuesta debe prepararse con apoyo de las áreas internas correspondientes y, cuando sea necesario, con revisión del área legal.
Si la respuesta incluye datos personales o información sensible, debes utilizar canales oficiales y medidas de seguridad adecuadas (cifrado, control de accesos, validación del destinatario).
⚖️ Recomendación legal: Que una autoridad solicite información no significa que los datos deban enviarse sin protección. La empresa debe colaborar cuando corresponda, pero manteniendo medidas de seguridad durante la preparación y envío de la respuesta.
Cierra el requerimiento y conserva evidencia.
Una vez enviada la respuesta o definida la improcedencia del requerimiento, debes actualizar el estado del caso y conservar las evidencias correspondientes.
El cierre debe permitir reconstruir la trazabilidad completa, lo cual será útil para auditorías, revisiones internas, consultas regulatorias o futuras solicitudes relacionadas.
Completa el versionado del documento.
Al finalizar el procedimiento, completa la sección de versionado para identificar quién elaboró el documento, quién lo aprobó, la fecha y la clasificación de la información.
También ayuda a demostrar que el procedimiento fue revisado, aprobado y comunicado formalmente dentro de la organización.
Todos los puntos anteriores aportan al cumplimiento normativo, ya que permite tener una trazabilidad adecuada y un control de los cambios realizados al documento.
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu procedimiento fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa.
💡Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Define un canal claro para recibir y escalar requerimientos de autoridades.
Capacita a las áreas que pueden recibir comunicaciones externas para que sepan cuándo activar este procedimiento.
No respondas requerimientos sin validar previamente su autenticidad, alcance y fundamento.
Limita la información entregada a lo estrictamente solicitado y evita incluir datos innecesarios.
Verifica si corresponde notificar a titulares o clientes, y documenta los casos en que no sea posible hacerlo.
Utiliza canales oficiales y medidas de seguridad para enviar información confidencial o sensible.
Solicita apoyo legal interno o externo cuando el requerimiento sea urgente, ambiguo, excesivo, reservado, complejo o involucre datos sensibles.
Revisa este procedimiento periódicamente si cambia la normativa, los canales de recepción o la estructura interna.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! También puedes contactarnos por correo electrónico o a través de la plataforma, y te brindaremos la atención que necesites.