ES Español FR Français DE Deutsch IT Italiano ZH 中文 JA 日本語 PT Português AR العربية
← Workspace

📄 Documento 33 de 95

Workflow ARCO — Solicitudes de Derechos de Titulares

Procedimiento operativo para responder a solicitudes de derechos de los titulares (Acceso, Rectificación, Cancelación, Oposición + Portabilidad, Limitación, Olvido, Revocación, No-decisiones-automatizadas). Cumplimiento Ley 172-13 R.D. + GDPR Art 15-22 + LGPD Art 18-22 + CCPA/CPRA.

⚠️ Documento interno. Borrador para revisión legal por abogado dominicano colegiado antes de notarización.

Workflow ARCO — Solicitudes de Derechos de Titulares de Datos

Procedimiento operativo obligatorio. Define cómo Lawra recibe, valida, procesa y responde a las solicitudes de derechos de los titulares de datos personales bajo la Ley 172-13 (R.D.), GDPR Arts. 15-22 (UE), LGPD Arts. 18-22 (Brasil), y CCPA/CPRA (California). Adoptado por la Asamblea en [__]. Versión: 1.0.

1. Derechos Cubiertos

DerechoAcrónimo / EquivalenteBase legalPlazo respuesta
AccesoA — GDPR Art. 15 / LGPD Art. 18 / CCPA “Right to Know”Ley 172-13 + GDPR + LGPD + CCPA15 días hábiles (R.D.) / 30 días (GDPR/LGPD)
RectificaciónR — GDPR Art. 16 / LGPD Art. 18 IVIdem15 días hábiles
Cancelación / Supresión / “Olvido”C — GDPR Art. 17 / LGPD Art. 18 VI / CCPA “Right to Delete”Idem15 días hábiles
OposiciónO — GDPR Art. 21 / LGPD Art. 18 § 2 / CCPA “Opt-out”Idem15 días hábiles
Limitación del tratamiento— GDPR Art. 18 / LGPD Art. 18 IVGDPR + LGPD15 días hábiles
Portabilidad— GDPR Art. 20 / LGPD Art. 18 V / CCPA “Right to Portability”GDPR + LGPD + CCPA30 días
Revocación del consentimiento— GDPR Art. 7 § 3 / LGPD Art. 8 § 5UniversalInmediato (cesa el tratamiento)
No decisiones automatizadas— GDPR Art. 22 / LGPD Art. 20GDPR + LGPD30 días
Información sobre logia de decisiones automatizadasGDPR Art. 22 / LGPD Art. 2030 días

2. Canales de Recepción

2.1. Solicitudes recibidas por:

  • Correo electrónico: privacy@lawra.io (canal principal, monitoreado diariamente);
  • Formulario web: lawra.io/legal/privacy/request/ (cuando se implemente);
  • Carta certificada al domicilio social.

2.2. — Responsable inicial de recepción: Oficial de Cumplimiento o Gerente.

2.3. — Reconocimiento de recepción: acuse de recibo dentro de 2 días hábiles, indicando plazo estimado de respuesta.

3. Procedimiento Paso a Paso

Paso 1 — Recepción y Registro (Día 0)

  1. Cualquier solicitud que se identifique como solicitud ARCO se enruta al canal privacy@lawra.io.
  2. Se registra en el log de solicitudes ARCO con: fecha, identidad declarada del titular, derecho solicitado, datos relacionados, jurisdicción aplicable, canal, identificador único.
  3. Acuse de recibo automático dentro de 2 días hábiles, con: confirmación de recepción + número de caso + plazo estimado de respuesta + información sobre verificación de identidad.

Paso 2 — Verificación de Identidad (Día 1-3)

Objetivo: prevenir respuestas a impostores que pretenden obtener datos de un tercero.

Métodos aceptables:

  • Solicitud desde la dirección de correo registrada en la cuenta de Lawra;
  • Confirmación mediante token enviado al correo o teléfono registrado;
  • Copia de cédula / pasaporte + selfie con documento (para casos sensibles);
  • Verificación cara a cara (videocall) cuando el caso lo justifique.

Si la verificación falla: rechazar respetuosamente con explicación; ofrecer métodos adicionales.

Casos especiales:

  • Solicitud por representante legal (apoderado, padres, tutores): exigir documentación legal de representación;
  • Solicitud por abogado del titular: poder específico + cédula del abogado.

Paso 3 — Análisis de Procedencia (Día 3-7)

Validar:

  1. ¿Aplica la base legal del derecho a este titular? (ej. CCPA solo aplica a residentes CA; GDPR a residentes UE; LGPD a residentes Brasil).
  2. ¿Tenemos los datos solicitados? Búsqueda exhaustiva en: Firestore, Firebase Auth, Stripe (si aplica), logs, sub-procesadores.
  3. ¿Existe excepción aplicable? Ejemplos:
    • Datos requeridos para cumplimiento de obligación legal (ej. retención fiscal de 10 años bajo norma DGII);
    • Datos necesarios para defensa de derechos en procedimientos legales activos;
    • Datos de terceros mezclados con los del titular (rectificación selectiva o anonimización);
    • Datos amparados por secreto profesional o confidencialidad de cliente (caso de datos cargados por un cliente B2B sobre su contraparte).
  4. ¿Hay conflicto con otra ley? Ejemplos: solicitud de borrar datos cuya retención es obligatoria por ley de prevención de lavado.

Paso 4 — Ejecución Técnica (Día 7-12)

DerechoAcción técnica
AccesoGenerar export estructurado (JSON / CSV) de todos los datos del titular en posesión de Lawra; entregarlo cifrado al titular
RectificaciónCorregir el dato en sistemas de origen + propagar a sub-procesadores (Firebase, Anthropic, etc.)
Cancelación / OlvidoEliminar del sistema activo + flag para eliminación de backups en próximo ciclo (90 días); notificar a sub-procesadores; documentar fecha de eliminación
OposiciónDetener el tratamiento basado en interés legítimo / marketing; mantener datos solo si hay otra base legal
LimitaciónBloquear acceso operativo a los datos sin eliminarlos
PortabilidadGenerar export en formato estructurado, ampliamente usado y legible por máquina (JSON/CSV)
Revocación de consentimientoCesar inmediatamente todo tratamiento basado en consentimiento; los datos pueden conservarse si hay otra base legal
No decisiones automatizadasHabilitar revisión humana del proceso afectado

Paso 5 — Respuesta al Titular (Día 12-15)

Plantilla de respuesta:

Estimado(a) [nombre del titular]:

En referencia a su solicitud de [derecho] recibida el [fecha], registrada bajo el caso #[__]:

[Si se procede:] Hemos procesado su solicitud. [Detalle de las acciones tomadas / información proporcionada / cambios efectuados].

[Si se deniega total o parcialmente:] Lamentamos informar que no podemos proceder con su solicitud por [base legal de la excepción], conforme a [norma aplicable]. Usted tiene derecho a presentar reclamación ante [autoridad de control aplicable].

[Plazo si la acción tiene componente diferido — eliminación de backups en 90 días, etc.]

Para preguntas adicionales, responda a este correo. Si considera que la respuesta no es satisfactoria, puede presentar reclamación ante:

  • R.D.: Autoridad de Protección de Datos (cuando se constituya);
  • UE: Autoridad de Control de su país de residencia;
  • Brasil: ANPD;
  • California: CPPA.

Atentamente, Equipo de Privacidad de Lawra privacy@lawra.io

Paso 6 — Documentación y Cierre (Día 15)

  • Cierre del caso en el log con: fecha de respuesta, acción tomada, evidencia de cumplimiento;
  • Conservación del registro durante 5 años (cumplimiento + auditoría);
  • Si hubo aspectos novedosos o difíciles, documentar la decisión para precedentes internos.

4. Casos Específicos

4.1 Solicitud sobre datos cargados por un cliente B2B

Cuando un titular solicita información sobre datos personales suyos que fueron cargados por un cliente B2B en la plataforma de Lawra:

  • Lawra es Encargado, el cliente B2B es Responsable.
  • Lawra redirige al titular al Responsable (el cliente B2B), conforme al DPA.
  • Lawra asiste al Responsable en cumplir la solicitud (extrayendo datos, etc.) cuando el Responsable lo requiera.
  • Lawra no decide unilateralmente sobre estos datos.

4.2 Solicitudes en bloque o automatizadas (data scraping de derechos)

Si se detectan solicitudes masivas claramente automatizadas o sin titularidad real:

  • Aplicar verificación reforzada;
  • Documentar el patrón;
  • Posible rechazo con explicación si la conducta es abusiva (GDPR Art. 12 §5).

4.3 Solicitud por menor de edad

  • Verificar capacidad legal (en R.D., menores de 18 generalmente requieren representación);
  • Requerir intervención de tutores o representantes legales.

4.4 Solicitud de fallecido

  • Aceptar de herederos con documentación legal;
  • Conforme a Ley 172-13 modificada y normas de sucesión.

5. Casos Difíciles — Escalamiento

Casos que requieren consulta con asesoría legal interna (Tanya / Ana Carolina):

  • Solicitud que conlleve riesgo legal sustancial;
  • Conflicto entre derecho del titular y obligaciones de Lawra;
  • Solicitud de datos que afectan a múltiples titulares (separación selectiva);
  • Solicitud en el marco de un litigio activo;
  • Solicitud por autoridad judicial o administrativa (orden judicial, requerimiento fiscal);
  • Solicitud transjurisdiccional (titular en una jurisdicción, datos en otra).

6. Métricas y Reporte

6.1. Mensualmente, el Oficial de Cumplimiento reporta al Gerente:

  • Total de solicitudes recibidas;
  • Distribución por tipo de derecho;
  • Tiempo promedio de respuesta;
  • Casos rechazados (% y motivos);
  • Casos escalados a asesoría legal.

6.2. Anualmente, reporte a la Asamblea + publicación de transparencia: número agregado de solicitudes recibidas y atendidas (en lawra.io/legal/transparency/).

7. Capacitación

  • Onboarding: todo nuevo miembro del equipo recibe módulo de privacidad + ARCO.
  • Refresher anual para roles de customer success y operaciones.
  • Drill anual: simulación de solicitud para evaluar tiempos y calidad.

8. Cumplimiento Normativo

Esta política implementa:

  • Ley No. 172-13 (R.D.) — Arts. 12-25 (derechos del titular);
  • GDPR (UE) 2016/679 — Capítulo III (Arts. 12-23);
  • LGPD (Brasil) 13.709/2018 — Capítulo III (Arts. 17-22);
  • CCPA / CPRA (California) — Cal. Civ. Code §1798.100 et seq.

Adoptado por la Asamblea General de Socios en fecha [__]. Próxima revisión: [fecha + 12 meses] o ante cambios materiales en la regulación.

Por LAWRA, S.R.L. — Gerente

Oficial de Cumplimiento Privacidad — [Nombre]

Comments

Loading comments...

0/2000 Comments are moderated before appearing.
Ctrl+K

No results found