10 cosas a tener en cuenta para garantizar el cumplimiento de GDPR
El GDPR (Reglamento general de protección de datos) fue un mandato de la Unión Europea y se consagró en la ley del Reino Unido del 25 de mayo de 2018. Va mucho más allá de las disposiciones originales de protección de datos del Reino Unido (de individuos ) aplicable antes de esa fecha y prevé sanciones severas para los directores (directores, propietarios y, a veces, gerentes) de las empresas que no cumplan.
Las multas pueden alcanzar el 4% de la facturación. Las infracciones de datos ampliamente reportadas han visto a British Airways y Marriott Hotels entregar multas por un total de € 300 millones.
El RGPD existe para limitar la cantidad de información que una persona o empresa (incluidos los comerciantes individuales) tiene sobre las personas como total y principalmente necesaria para la realización de las actividades comerciales. Estos propietarios de estos datos se describen como controladores de datos. El Comisionado de Información del Reino Unido también identifica las funciones separadas de los controladores y procesadores de datos conjuntos. Para obtener más detalles sobre las disposiciones del GDPR, visite el sitio web de la Oficina del Comisionado de Información.
El RGPD afecta a los miembros de BASDA (Asociación de desarrolladores de software de aplicaciones empresariales) tanto como empresas que tienen datos, por ejemplo sobre sus empleados y clientes, como proveedores de software empresarial que permite a las organizaciones retener y procesar datos sobre individuos.
Históricamente, casi toda la información se podía conservar y retener hasta que se publicara. Ahora, cualquier información que se tenga sobre una persona debe ser adecuada para su propósito (por ejemplo, para cumplir con las obligaciones asociadas con la prestación de un servicio) y, lo que es más importante, debe proporcionarse, previa solicitud, a una persona.
A continuación se presentan 10 elementos BASDA para que una empresa los considere bajo GDPR.
1. Soy un controlador de datos. ¿Tengo que registrar mis actividades con el registrador GDPR?
Si. Los controladores que mantienen, retienen y procesan datos personales deben pagar una tarifa de protección de datos a la Oficina del Comisionado de Información (ICO), a menos que estén exentos. Actualmente, las tarifas oscilan entre € 40.00 y € 2,500.
(Crédito de la imagen: Wright Studio / Shutterstock)
2. ¿Quién está cubierto exactamente por las disposiciones del RGPD?
Cualquiera que crea que un controlador de datos tiene datos personales sobre ellos. Esto incluye empleados; personal del cliente; personal de proveedores; personal de potenciales clientes y proveedores; personas que reciben información de marketing sobre productos y servicios propios y de terceros, etc.
3. ¿Cuáles son mis obligaciones con respecto al acceso a los datos que tengo?
Las personas físicas tienen el derecho legal de acceder a cualquier información personal que un controlador pueda tener sobre ellas. Esto se conoce comúnmente como "acceso sujeto". Se puede hacer una solicitud de acceso al sujeto para la divulgación completa de toda la información que tiene un controlador sobre ellos verbalmente o por escrito y la empresa tiene un mes para responder. La falta de respuesta con la divulgación completa da como resultado sanciones severas para los ejecutivos de la compañía. Los costos normalmente no son asumidos por una persona que realiza una solicitud de conformidad con las disposiciones del GDPR.
(Crédito de la imagen: Alexskopje / Shutterstock)
4. ¿Qué información puedo proporcionar si recibo una solicitud de acceso al tema?
Cualquier información relacionada con el acceso al tema, ya sea en forma "electrónica" (para ser entregada en papel), grabaciones de audio, grabaciones de video (luego copias directas de los dos últimos) o en papel. El "formulario electrónico" incluye datos almacenados en bases de datos, archivos (procesamiento de textos, hojas de cálculo, etc.) y correos electrónicos (tanto comerciales como privados).
5. ¿Cómo puedo garantizar el cumplimiento interno?
El primer paso es garantizar que todas las políticas y procedimientos internos aclaren a todo el personal (y, cuando corresponda, a los contratistas) que solo la información relevante para las necesidades comerciales debe registrarse en las personas con el que puede estar en contacto.
Además, si los servidores de la empresa se utilizan para acceder (por personas de la empresa) a correos electrónicos personales o sitios de redes sociales (Facebook, Twitter, etc.), debe tenerse en cuenta que la empresa tiene la obligación de proporcionarles cualquier material relacionado. fuentes al recibir una solicitud de acceso a temas.
Una solución segura es bloquear el acceso a correos electrónicos personales y sitios de redes sociales utilizando servidores corporativos. Sin embargo, una solución de seguridad es garantizar que todos los empleados y contratistas sepan que si tienen acceso sin obstáculos a estos datos para asegurarse de que cumplen con las disposiciones del GDPR.
6. Recibí una solicitud de acceso verbal, ¿qué debo hacer?
Si bien es preferible que todas las consultas se reciban por escrito, es razonable que un empleado solicite información que un empleador tenga sobre ellas. Por lo tanto, es esencial documentar claramente en las políticas y procedimientos del controlador de datos cómo registrar dicha solicitud verbal y garantizar que la información se proporcione de manera adecuada.
(Crédito de la imagen: Shutterstock)
7. ¿Por qué los correos electrónicos están cubiertos por las disposiciones de la ley?
Con demasiada frecuencia, los correos electrónicos (o comunicaciones similares) se utilizan como medio para expresar opiniones (buenas y malas) sobre alguien que tiene poco o nada que ver con los negocios. Estas opiniones, además de la tenencia de datos personales, podrían ser de naturaleza difamatoria (una cuestión de políticas y procedimientos) y si un colega (que puede solicitar acceso bajo las disposiciones del RGPD) podría dejar una empresa abierta a un litigios laborales.
Cuando se ha recibido una solicitud de acceso por tema, es necesario eliminar la mención de cualquier otro dato personal que no sea específico de la solicitud, es decir, que pertenece a otra persona. Proporcionar datos personales a otra persona cuando responde al acceso del sujeto es un delito en el sentido de las disposiciones del GDPR.
8. Entrego software para que lo instalen los clientes. ¿Esto me convierte en un controlador de los datos que puedan tener?
Si proporciona soluciones de software (normalmente con licencia) que posteriormente mantiene y para las cuales ofrece servicios de diagnóstico remoto, cuando dichos servicios remotos pueden incluir el acceso a la información contenida en una base de datos que contiene información personal, puede estar operando como un controlador de datos.
Por lo tanto, es importante revisar los acuerdos de soporte / mantenimiento existentes e incluir un texto como: "Si se nos solicita por escrito que accedamos y quizás modifiquemos el contenido de una base de datos o archivos socios que contienen datos personales, documentaremos cualquier cambio realizado. y envíe esta documentación completa al cliente / licenciatario. Una vez que esta información se haya comunicado al cliente / licenciatario, eliminaremos todas las referencias y copias temporales de nuestros propios sistemas. Esto preservará nuestro papel como procesador de datos, no como controlador de datos. "
9. Ofrezco soluciones de software como servicio (SaaS) donde alojo datos administrados por el cliente. ¿Eso me convierte en un controlador de datos?
En general, la oferta de SaaS implica que las bases de datos subyacentes y los archivos asociados que pueden contener información personal están bajo su control directo.
En este caso, sería útil garantizar que los contratos con los usuarios del servicio incluyan una redacción como la siguiente: “Operamos como un subcontratista para proporcionar los servicios descritos aquí. Si se nos indica por escrito que accedamos y posiblemente modifiquemos el contenido de una base de datos o archivos asociados que contienen datos personales, documentaremos cualquier modificación realizada y enviaremos esta documentación completa al cliente / licenciatario. Una vez que esta información se haya comunicado al cliente / licenciatario, eliminaremos todas las referencias y copias temporales de nuestros propios sistemas. Esto preservará nuestro papel como procesador de datos, no como controlador de datos. "
(Crédito de la imagen: Pixabay)
10. ¿Qué sucede si nuestros servidores son pirateados y los datos se copian (roban)?
El Comisionado de Información deja en claro que un controlador de datos es responsable de la seguridad de todos los datos personales que posee.
El hecho de que un servidor sea pirateado o que un empleado tome una copia de datos personales no es una excusa y siempre deja al Controlador de datos (en particular a sus agentes) responsable bajo las disposiciones del RGPD. Se debe tener cuidado de que incluso copiar los datos de un individuo no esté permitido, excepto para el único propósito legítimo del Controlador de datos.
La copia no se limita a la entrega de datos a través de servicios de comunicación: incluye la copia en almacenamiento portátil, como memorias USB o tarjetas SIM.
Esta guía es de la organización empresarial del Reino Unido BASDA (Asociación de Desarrolladores de Software de Aplicación de Negocios) que ha dado permiso a LaComparacion Pro para volver a publicarla. BASDA opera a través de la representación y la colaboración para garantizar que la voz de la industria del software empresarial del Reino Unido sea escuchada por algunos de los niveles más altos del gobierno del Reino Unido, los responsables políticos y los medios de la industria. Puedes leer más sobre BASDA aquí.
Deja una respuesta