Este documento describe el procedimiento operativo interno de CookieSafe para atender las solicitudes de los interesados que ejerzan los derechos reconocidos por los arts. 15-22 RGPD y los arts. 13-18 LOPDGDD.
Aplicable a: - Usuarios del Servicio (administradores de cuenta) cuando CookieSafe actúa como responsable. - Visitantes de webs de Clientes cuando CookieSafe actúa como encargado: en este caso, la solicitud se redirige al Cliente y se le asiste técnicamente.
| Canal | Uso | Destinatario | |---|---|---| | Sección «Mis datos» del panel | Self-service: acceso, portabilidad, supresión de cuenta | Automatizado | | Email dpo@cookiesafe.ahaguilar.com | Cualquier derecho, especialmente oposición/limitación/rectificación | DPO | | Correo postal a [DIRECCIÓN] a la atención del DPO | Vía excepcional | DPO | | Solicitud de un Visitante a través de cualquier canal | Reenvío al Cliente Responsable; asistencia técnica si la solicita | DPO + soporte técnico |
Las solicitudes recibidas por canales no previstos (chat, redes sociales) se redirigen al canal oficial y se acusa recibo.
- Plazo general: 1 mes desde la recepción de la solicitud completa. - Prórroga: hasta 2 meses adicionales si la solicitud es compleja o si hay varias solicitudes del mismo interesado, comunicándolo al interesado dentro del primer mes con motivación. - Acuse de recibo: en un máximo de 5 días hábiles. - Gratuidad: el ejercicio es gratuito; sólo se cobra coste razonable si la solicitud es manifiestamente infundada o excesiva (art. 12.5 RGPD), tras motivar la decisión.
Para evitar suplantación, antes de ejecutar la solicitud se verifica la identidad:
- Si la solicitud procede de la cuenta (botón en el panel autenticado con sesión + MFA): identidad verificada implícitamente. - Si procede por email: se envía a la dirección registrada un enlace mágico (magic-link) firmado con caducidad de 30 minutos. El usuario debe pulsarlo para confirmar. - Si la dirección no está registrada o hay dudas razonables, podrá solicitarse información adicional proporcionada: por ejemplo, ID de cuenta, fecha aproximada de alta, último dominio configurado. No se solicitan documentos de identidad salvo que sea estrictamente imprescindible (art. 12.6 RGPD).
Para Visitantes: la verificación corresponde al Cliente Responsable; el Encargado le proporciona los datos técnicos que permitan localizar el registro (UUID anónimo, hash de IP del día concreto).
1. Recepción + acuse de recibo (5 días hábiles). 2. Verificación de identidad. 3. Compilación de los datos: datos de cuenta, registros de uso, comunicaciones de soporte, facturación. 4. Generación de un paquete ZIP con un JSON estructurado + PDF legible. 5. Entrega segura (descarga autenticada con caducidad de 7 días).
1. Recepción + verificación. 2. Validación del dato a rectificar. 3. Actualización en base de datos y propagación a copias de seguridad activas (las pasadas se rectifican al ejecutarse). 4. Comunicación al interesado y, si procede, a destinatarios de los datos.
1. Recepción + verificación. 2. Evaluación de excepciones (obligación legal de conservar: contabilidad, defensa de reclamaciones). 3. Supresión efectiva en base de datos primaria; anonimización de datos en backups según rotación natural (90 días). 4. Para Visitantes: el Cliente Responsable ejecuta la supresión desde el panel; el Encargado borra el registro vinculado al UUID.
1. Recepción + verificación. 2. Evaluación de motivos vs. interés legítimo (cuando aplique). 3. Si prevalece el interés del interesado: cese del tratamiento concreto. 4. Para comunicaciones comerciales: cese inmediato sin necesidad de motivar.
1. Recepción + verificación. 2. Extracción de los datos proporcionados por el interesado y tratados por consentimiento o contrato. 3. Entrega en formato JSON (interoperable) o CSV a elección. 4. Si se pide transmisión directa a otro responsable, se valora viabilidad técnica.
1. Recepción + verificación. 2. Marcado del registro como «limitado» (flag en BD que impide tratamientos distintos de conservación). 3. Cese del tratamiento mientras se resuelve la cuestión. 4. Comunicación al interesado antes del levantamiento de la limitación.
CookieSafe no realiza decisiones individuales automatizadas con efectos jurídicos. Cualquier solicitud al respecto se respondería confirmando la inexistencia.
Las plantillas se mantienen versionadas y se generan con marca CookieSafe y firma del DPO. Esquema:
> Estimado/a [nombre], > > Hemos recibido su solicitud de ejercicio del derecho de [acceso / rectificación / supresión / oposición / portabilidad / limitación] el [fecha]. Le confirmamos que su solicitud ha sido registrada con la referencia [ID]. > > Conforme al art. 12 RGPD, le daremos respuesta motivada en un plazo máximo de un (1) mes desde hoy, prorrogable hasta dos meses más si la complejidad de la solicitud lo requiere, en cuyo caso se lo comunicaríamos previamente. > > Para verificar su identidad, le hemos enviado un enlace al correo registrado: por favor, pulse el enlace en los próximos 30 minutos. > > Atentamente, > El Delegado de Protección de Datos > dpo@cookiesafe.ahaguilar.com
> Estimado/a [nombre], > > En respuesta a su solicitud de acceso (ref. [ID]) recibida el [fecha], le confirmamos lo siguiente conforme al art. 15 RGPD: > > - Finalidades del tratamiento: [listar]. > - Categorías de datos tratados: [listar]. > - Destinatarios: Stripe (encargado, datos de facturación), Cloudflare (encargado, datos técnicos efímeros). > - Plazo de conservación: [aplicable]. > - Origen de los datos: facilitados por usted o generados durante el uso del Servicio. > - Existencia de transferencias internacionales: ninguna. > - Decisiones automatizadas: ninguna. > > Adjuntamos paquete cifrado con copia íntegra de sus datos. Puede descargarlo en [enlace] durante los próximos 7 días. > > Recordamos su derecho a presentar reclamación ante la AEPD (www.aepd.es). > > Atentamente, > El Delegado de Protección de Datos.
> Estimado/a [nombre], > > Atendida su solicitud de supresión (ref. [ID]), le confirmamos la cancelación efectiva de su cuenta y la supresión de sus datos personales, salvo aquellos cuya conservación nos viene impuesta por ley (facturación: 6 años conforme al Código de Comercio). > > La supresión surtió efecto el [fecha]. Sus consentimientos administrados como encargado han sido eliminados de la base activa; los respaldos cifrados se sobrescribirán en el ciclo natural de rotación (máximo 90 días). > > Atentamente, > El Delegado de Protección de Datos.
Disponibles en la wiki interna `legal/templates/` (no incluidas aquí para brevedad). Mismo esquema: identificación, derecho ejercitado, fundamento, acción realizada, plazo, recurso ante AEPD.
> Estimado/a [nombre], > > CookieSafe actúa, respecto a los datos relativos a su navegación por la web [dominio del Cliente], como encargado del tratamiento por cuenta del titular de dicho dominio. La gestión de su solicitud corresponde al responsable, que es [Cliente / razón social si la conocemos]. > > Hemos remitido su solicitud al responsable con fecha de hoy y le asistiremos técnicamente. Para el seguimiento, le rogamos contactar con [contacto del Cliente]. > > Atentamente, > El Delegado de Protección de Datos.
Cada solicitud queda registrada en una base interna con:
- ID único, fecha recepción, canal, derecho ejercitado, interesado (identificador, no datos sensibles), estado, fecha de resolución, plantilla utilizada, persona responsable.
El registro se conserva 3 años para acreditar diligencia ante la AEPD.
- Si la solicitud presenta dudas jurídicas, se escala al DPO en 48 h. - Si afecta a más de 100 interesados (solicitud colectiva), se documenta como incidente y se evalúa notificación reforzada. - Si se detecta brecha durante la tramitación, se aplica el protocolo de brechas (`legal/security-measures.md` §Brechas).
El personal con acceso a datos recibe formación específica anual sobre DSR. El DPO valida la idoneidad del procedimiento al menos una vez al año.