martes, 15 de marzo de 2011

Rincón del Responsable de Seguridad: Redactando una política ARCO…

Hoy continuaremos hablando de la política ARCO. Como recordarán, ayer me remitía a un segundo post sobre la materia, donde les expondría el contenido mínimo de dicha política. Vamos a ello.

En primer lugar, la política ARCO debería incluir una introducción en la que se explique por qué se ha redactado y aprobado esta política (ya saben, el derecho fundamental que a todos nos asiste, el compromiso de la Dirección en el respeto de la LOPD, y blablabla….).

Seguidamente, podrán Ustedes exponer los objetivos del documento (regular la forma en que habrán de atenderse los derechos ARCO en la compañía y explicar a cada empleado su función en dicha tarea) y el ámbito de aplicación (en principio, es una norma interna de obligado cumplimiento para todo el personal).

A continuación, pasamos ya al desarrollo propiamente dicho de la política, que contendrá, al menos:

- Cuáles son los derechos ARCO y en qué consiste cada uno.

- Identificación del encargado de atenderlos, a quien se debe remitir cualquier petición que se reciba en la compañía, así como las dudas que surjan sobre la aplicación de la política (Me temo que esa persona es Usted).

- Descripción del mecanismo de atención de las peticiones: Plazos para atender las peticiones, supuestos de denegación, registro de peticiones, supuestos de atención positiva del derecho (por ejemplo, en caso de un centro de salud, se podría establecer un procedimiento para entregar la historia clínica en mano, en sobre cerrado, debiendo firmar el paciente un recibí, etc…).

- Anexos: Modelos de respuesta a las peticiones (carta tipo de denegación de cancelación, carta tipo estimando el derecho de acceso, etc…).

Ni que decir tiene que, si en su empresa existe un modelo de procedimiento, instrucción interna o similar, impuesto por normas de calidad o de otro tipo, Usted deberá ceñirse a ese modelo. No tome al pie de la letra los apartados que yo le menciono arriba. Adáptelos al estilo de su organización.

Como le comentaba, esta política ha de darse a conocer, si no en su totalidad, sí al menos en sus puntos básicos. Para ello, puede optar por distintos medios:

- E-mail informativo dirigido a todo el personal de la compañía

- Carteles colocados en áreas clave (cafetería, pasillo, zonas de descanso, etc…) Échele imaginación y no ponga sólo letras.

- Dípticos o trípticos (incluso en Word se pueden conseguir resultados aceptables)

- Apartado específico en el Manual de Bienvenida (si existe)

Es muy importante lanzar el mismo mensaje con palabras simples y de forma periódica. Goebbels lo sabía y ahora Usted también: Repita su camapaña de concienciación en derechos ARCO al menos una vez al año, cambiando de medio (un año coloca el cartel al lado de la máquina del café; al siguiente, envía un correo…)

Recalque, sobre todo, la brevedad de los plazos y que deben dirigirse a Usted nada más recibir un escrito relativo a ejercicio de derechos (o a LOPD en general). Después de todo, Usted es el protagonista y no le vendrá mal tener más visibilidad en la empresa, creando la –falsa- apariencia de que está haciendo algo útil para ganarse su sueldo.

2 comentarios:

Álvaro Del Hoyo dijo...

No creo que todos los empleados deban participar de estos procesos de atención de solicitudes de derechos ARCO

Por otra parte, creo que puede ser oportuno ampliar a la política el modo de operar en caso de que la cosa no se muera con la respuesta y el interesado decida abrir un procedimiento de tutela de derechos, que si acaso debería contar cómo pasar los trastos a los abogados en caso de que se recurra por cualquiera de las partes a la AN. Si bien creo es recomendable meter a los abogados desde casi la recepción de la solicitud, al menos para que asesoren de cómo responder en los casos complejos

Ad Edictum dijo...

Buenos días, Don Alvaro.

El RLOPD obliga a atender todas las peticiones, se reciban por el medio que se reciban. También obliga a que aquellos empleados con acceso a datos de carácter personal conozcan el procedimiento a seguir en estos casos.

Esto aconseja que la política ARCO tenga una difusión lo más amplia posible. Dependiendo de la empresa, es cierto que se podrán dejar determinadas categorías fuera de la difusión de la política.

En cualquier caso, yo les propongo un contenido recomendado, no obligatorio. No se va a sancionar a una empresa por no tener una política ARCO o porque el contenido de ésta sea distinto del que se comenta en este post.

Lo de ampliar a los procedimientos de tutela, no lo veo claro. Esta política, según mi experiencia, funciona si es sencilla y tiene por objeto atender peticiones de ejercicio de derechos. Comprende básicamente: Recepción de la petición, tramitación interna hasta llegar al responsable ARCO de la organización, registro, actuación necesaria para el ejercicio,en su caso, y respuesta.

La política se termina en este punto. Su objetivo es que se hayan completado los pasos hasta que el interesado reciba una respuesta formal.

Lo que haga después el interesado, si no vuelve a ejercitar sus derechos ARCO, queda fuera de la política.

Si se abre un procedimiento de tutela, efectivamente, lo más adecuado es que lo dirija un abogado interno o externo (en algunos casos ese abogado será el propio responsable de seguridad, en otros, no). Y los abogados no somos amigos de hacer políticas que fijen los pasos que tenemos que dar para presentar un recurso.

Un cordial saludo.