INFORMACIÓN SOBRE RGPD
Medidas que las empresas deben tomar para cumplir con RGPD
Hay varias medidas que las empresas deben tomar para cumplir con RGPD, así como para proteger los datos personales de diferentes maneras. Lo que son las medidas depende de la empresa, el negocio y la situación. Todas las empresas deben poder demostrar que cumplen con RGPD en la práctica. Además, las empresas deben poder respetar los derechos de los interesados y deben aplicar medidas a tal fin.
Seguridad de la información
Las empresas deben proteger los datos personales que procesan, lo que se puede hacer de diferentes maneras. Por lo tanto, la empresa necesita establecer e implementar procedimientos internos y poner otra información a disposición de sus empleados, para que puedan proteger los datos personales. Cuanto más importantes son los datos personales, más fuerte es la protección que necesita. Cuanto mejor sea la seguridad de la información que la empresa implemente dentro del negocio, menos riesgos asociados con el procesamiento de datos personales.
Violaciones de datos personales bajo RGPD
Las violaciones de datos personales pueden tener consecuencias importantes para los interesados afectados. Esto puede conducir, por ejemplo, a robo de identidad o daños financieros. Además, las empresas pueden tener consecuencias importantes si no adoptan las medidas de seguridad organizativas y técnicas adecuadas para evitar violaciones de datos personales. Lo mismo se aplica si la empresa viola el RGPD en otras partes, por ejemplo, al no informar una violación de datos personales a tiempo.
Ejemplos comunes de violaciones de datos personales:
- Destrucción ilegal de datos personales.
- Divulgación no autorizada de datos personales.
- Acceso no autorizado a datos personales.
- Pérdida involuntaria de datos personales.
- Cambio no autorizado de datos personales.
Evaluación de riesgos tras una violación de datos personales
Las empresas siempre deben llevar a cabo una evaluación de riesgos tras una violación de la seguridad de los datos personales. El objetivo de la evaluación es averiguar qué riesgos conlleva la violación para los derechos y libertades de los interesados. Ejemplos de lo que las empresas pueden tener en cuenta a la hora de llevar a cabo la evaluación de riesgos:
Infracción
La naturaleza de la violación de datos personales; Por ejemplo, si se trata de un correo electrónico que se ha enviado al destinatario equivocado que contiene información personal común, como el nombre y el número de teléfono, o si la violación significa que se ha filtrado información personal confidencial sobre la salud de una persona.
Carácter y sensibilidad
Cuanto más importantes sean los datos personales, mayor será el riesgo para los derechos y libertades de los interesados. Por lo tanto, es importante analizar la importancia de los datos personales. ¿Es, por ejemplo, los datos de la tarjeta de crédito de una persona u otra información que es más digna de protección?
Consecuencias
Las posibles consecuencias de la violación de datos personales; Por ejemplo, si los detalles de la tarjeta de crédito se han filtrado, puede provocar daños financieros.
Características
Si los interesados son un grupo digno de protección, como los niños, las personas mayores o las personas con discapacidad.
Volumen
Cuántas personas se han visto afectadas por la violación de datos personales. A menudo tiende a tener un mayor efecto cuanto más hay, pero no siempre tiene que ser así tampoco. También es útil analizar el volumen de datos personales afectados por la violación, y no solo el número de interesados.
El reglamento requiere documentación de todas las violaciones de datos personales ocurridas
Cualquier empresa que detecte una violación de datos personales en relación con los datos personales que trata debe documentarlos. Este requisito de documentación se aplica independientemente de que la violación de datos personales sea tan grave que deba notificarse a la autoridad nacional de protección de datos y a los interesados. Todas las violaciones de datos personales ocurridas deben ser documentadas, pero no todas deben ser reportadas. Además, es bueno tener rutinas internas sobre cómo deben actuar los empleados en caso de violaciones de datos personales. Una acción rápida puede tener un impacto importante en las consecuencias que conlleva.
Las empresas adoptarán diversas medidas preventivas adecuadas.
Además de prevenir las violaciones de datos personales, las empresas también deben tratar de minimizar las consecuencias una vez que se produzcan. Es un requisito bajo el RGPD que las empresas protejan los datos personales que procesan, lo que incluye la implementación de varias medidas preventivas apropiadas.
Informar a los interesados afectados de una violación de datos personales ocurrida
Se informará a los interesados de determinados tipos de violaciones de la seguridad de los datos personales que afecten a sus datos personales. De esta manera, también pueden contribuir a minimizar las consecuencias negativas. Por ejemplo, si el número de la tarjeta de crédito se filtra, el interesado puede tomar sus propios pasos para bloquear la tarjeta.
Además, la empresa que es el controlador de los datos personales en cuestión debe notificar ciertos tipos de violaciones de datos personales a la autoridad nacional de protección de datos. La notificación debe hacerse dentro de las 72 horas posteriores al descubrimiento.
Violaciones transfronterizas de datos personales
Cuando una violación de datos personales está relacionada con varios países de la UE, se trata de una violación transfronteriza de datos personales. Las empresas que operan en varios países de la Unión deben evaluar qué autoridad de protección de datos es responsable. Esto debe hacerse para, entre otras cosas, poder saber a quién reportar una posible violación de datos personales.
No obstante, los interesados podrán presentar su reclamación ante la autoridad nacional de protección de datos de su país de residencia, que, a su vez, podrá transferir el caso a otra autoridad de control si es más adecuado.
Medidas de seguridad organizativas para proteger los datos personales
Para cumplir con las reglas del RGPD, las empresas deben tomar varias medidas de seguridad apropiadas. Entre otras cosas, medidas de seguridad organizativas para proteger los datos personales, así como otras medidas organizativas para, por ejemplo, poder cumplir con los derechos de los interesados.
Gestión de autorizaciones y derechos de acceso
Puede ser adecuado que las empresas controlen la autoridad sobre quién tiene acceso a los datos personales, para garantizar que las personas no autorizadas no los tengan. Esto es especialmente importante en las empresas más grandes que procesan datos personales importantes, como datos personales confidenciales.
El principio de que los empleados deben tener acceso a los datos personales sobre la base de la «necesidad de conocer» es un buen punto de partida. En resumen, esto significa que solo los empleados que necesitan procesar los datos personales para realizar sus tareas deben tener dicho acceso. Otros empleados no tendrán acceso a ellos. Además, es importante revocar los derechos de acceso cuando ya no sea necesario. La gestión de la autorización es algo que debe ser monitoreado y revisado de manera continua.
Instrucciones y rutinas para los empleados
Las empresas deben establecer procedimientos internos e instrucciones a sus empleados sobre cómo trabajar en la práctica para cumplir con las normas del RGPD. Todo el procesamiento de datos personales es llevado a cabo en la práctica por los empleados, aunque es la empresa la que legalmente tiene la responsabilidad final del procesamiento que se lleva a cabo de acuerdo con RGPD.
Si una empresa tiene varios departamentos, es bueno crear instrucciones personalizadas para los respectivos departamentos. La razón de esto es que a menudo no es necesario que todos los empleados conozcan todas las reglas de RGPD para poder administrar sus tareas. Además, la empresa debe tener procedimientos internos para manejar violaciones de datos personales, etc.
Cultura y educación en materia de seguridad
La protección de datos es una parte importante para las empresas que procesan datos personales, que es la gran mayoría de las empresas. Para tener una buena protección de datos, es importante crear una buena cultura de seguridad dentro del negocio. Entre otras cosas, esto se puede hacer formando al personal en la parte de RGPD que es importante conocer en sus tareas.
Además, puede ser bueno para las grandes empresas con múltiples desvíos contar con embajadores de protección de datos en cada departamento que reciben una formación específica y se convierten en un tipo de persona de contacto en el departamento.
Medidas técnicas de seguridad para proteger los datos personales
Es importante que la empresa adopte las medidas técnicas de seguridad adecuadas para proteger los datos personales de conformidad con el RGPD. Cuanto más importantes sean los datos personales, más seguras serán las medidas de seguridad que la empresa debe tomar.
Además, las empresas deben implementar otras medidas técnicas para cumplir con otras reglas en el RGPD y otras leyes. Por ejemplo, las empresas que operan un mercado en línea deben poner en marcha una solución técnica que permita a los usuarios denunciar productos falsos y otros productos ilegales.
Autenticación como parte del proceso de identidad
Es común que los interesados necesiten identificarse antes de poder acceder a los sistemas que procesan datos personales. Por ejemplo, deben iniciar sesión con su nombre de usuario y contraseña registrados. Este es un tipo de autenticación. Sin embargo, puede ser apropiado tener un proceso de autenticación más seguro en algunos casos.
Por ejemplo, si una persona va a sacar un préstamo de su banco a través de su teléfono móvil. En tales casos, puede ser apropiado que la persona necesite iniciar sesión con una identificación electrónica o similar, y no solo a través de un nombre de usuario con una contraseña.
Para las empresas que procesan datos personales muy sensibles, como datos de salud, un medio más seguro de autenticación puede ser el uso de huellas dactilares o una tarjeta especial.
Cifrado de datos durante el almacenamiento y la transmisión
El cifrado de datos personales y otra información es una medida técnica común que las empresas deben tomar. Por ejemplo, el cifrado puede ocurrir cuando la empresa envía un correo electrónico que contiene información personal importante. Además, el cifrado puede ser apropiado para implementar cuando se almacenan datos personales, como cuando el almacenamiento se relaciona con datos personales sensibles a la privacidad. En resumen, el cifrado significa que una combinación de una función matemática y una clave de cifrado juntas puede transformar los datos para que sean legibles.
Copia de seguridad de datos personales y otra información
Para evitar la destrucción, el cambio o la pérdida no autorizados de datos personales, es bueno respaldarlos. Por ejemplo, tomando copias de seguridad regulares que luego se almacenan en un servicio seguro en la nube. Si los datos se pierden o alteran ilegalmente, constituye una violación de datos personales que la empresa debe evitar. Por lo tanto, es bueno tener copias de seguridad como parte de las medidas técnicas de seguridad. Sin embargo, es importante tener en cuenta para proteger las copias, al igual que la empresa debe proteger los originales. Además, la empresa necesita borrar las copias de seguridad después de un cierto período de tiempo.
Segmentación de redes de ordenadores
Una medida de seguridad técnica que puede reducir las consecuencias de cualquier violación de datos personales es dividir las redes de datos en varias subredes. Esto también se llama segmentación de red. Además, es una forma de contrarrestar el acceso no autorizado y la divulgación de datos personales.
Transferencias a terceros países
Un tercer país es un país fuera de la zona UE/EEE. Cuando una empresa transfiere personas allí, se aplican reglas más estrictas. Ejemplos de casos en que las transferencias de datos personales a terceros países son comunes:
Correo electrónico
Cuando una persona envía un correo electrónico que contiene datos personales. Por ejemplo, adjuntando un documento a un destinatario de correo electrónico en Asia.
Servicio en la nube
Si una empresa almacena datos personales en un servicio en la nube que tiene sus servidores en los Estados Unidos.
Contrato
Cuando una empresa de la UE celebra un acuerdo con una empresa de África que contiene datos personales.
Nivel de protección adecuado evaluado por la Comisión Europea
Si se considera que un país tiene un nivel adecuado de protección, se le permite transferir datos personales allí sin tener que adoptar ninguna salvaguardia adicional, como normas corporativas vinculantes.
Sin embargo, una empresa no puede decidir por sí misma si un país tiene un nivel adecuado de protección o no. Se trata de una decisión adoptada por la Comisión Europea.
Situaciones específicas y traslados ocasionales
Incluso si se considera que un tercer país no tiene un nivel adecuado de protección de conformidad con una decisión de la Comisión Europea, o si la empresa adopta algunas salvaguardias adicionales, puede autorizarse la transferencia de datos personales a un tercer país. Por ejemplo, si el interesado da su consentimiento explícito a la transferencia y notifica a la empresa en consecuencia. Tenga en cuenta que el interesado debe ser informado sobre el procesamiento y los riesgos involucrados antes de dar su consentimiento.
Salvaguardias adicionales para las transferencias a terceros países
Una empresa puede adoptar salvaguardias adicionales que sean apropiadas al transferir datos personales a un tercer país. En tales casos, la transferencia puede ser permitida. Tenga en cuenta que un interesado debe tener derecho a oponerse al procesamiento. Además, la persona tendrá derecho a que el asunto sea juzgado por un tribunal.
Aquí puede leer las recomendaciones del Comité Europeo de Protección de Datos sobre las herramientas de transferencia de suplementos adecuadas para salvaguardar las transferencias de datos personales a terceros países y garantizar el cumplimiento del nivel de protección de datos personales de la UE.
Normas corporativas vinculantes (RCB)
Es posible establecer normas corporativas vinculantes que, por ejemplo, un grupo de empresas, que tiene empresas en varios países, puede utilizar al transferir datos personales a terceros países. Los BCR deben ser aprobados por una autoridad de protección de datos de la UE para ser válidos. Además, el Comité Europeo de Protección de Datos emitirá un dictamen antes de que se adopte la decisión.
Cláusulas contractuales tipo
La Comisión Europea ha adoptado cláusulas contractuales tipo que las empresas pueden utilizar al transferir datos personales a terceros países. En otras palabras, las empresas que celebren un acuerdo con una empresa de un tercer país que no tenga un nivel de protección adecuado pueden incluir las cláusulas adecuadas de la Comisión Europea. Tenga en cuenta que no está permitido cambiar las cláusulas. Además, es importante utilizar la cláusula correcta para la situación específica.
Códigos de conducta o mecanismos de certificación
Si una empresa de un tercer país se adhiere a un código de conducta aprobado, se puede permitir que las empresas transfieran datos personales a la empresa. Lo mismo se aplica si se han unido a un mecanismo de certificación aprobado. Es común que las organizaciones que representan a una industria específica elaboren códigos de conducta que puedan cumplirse.
Aquí puede leer las directrices del Consejo Europeo de Protección de Datos sobre los códigos de conducta como herramientas para las transferencias de datos personales a terceros países.
Acuerdos y documentos relacionados con el RGPD
Hay varios acuerdos y documentos que las empresas necesitan y / y deben redactar por escrito, para cumplir con las reglas del RGPD. Las empresas deben poder demostrar que cumplen con el RGPD de acuerdo con el principio de responsabilidad, y esto significa, entre otras cosas, presentar por escrito documentos y acuerdos apropiados relacionados con el RGPD. A continuación se muestra un breve resumen de algunos documentos y acuerdos clave relacionados con RGPD que la mayoría de las empresas necesitan.
Aviso de privacidad con información sobre el tratamiento de datos personales
Las empresas deben informar sobre el procesamiento de datos personales, preferiblemente antes de que la empresa comience el procesamiento o en relación con los datos personales que se recopilan. Esto suele hacerse en un aviso de privacidad publicado, por ejemplo, en el sitio web oficial de la empresa.
La información contenida en el aviso incluirá, entre otras cosas, la duración del tratamiento de los datos por parte de la empresa, la finalidad del tratamiento y los derechos de los interesados. Los artículos 13 y 14 del RGPD regulan los requisitos mínimos para el contenido de un aviso de privacidad.
Acuerdo de procesamiento de datos entre un procesador y un controlador, o entre dos procesadores
Cuando un controlador de datos contrata a un procesador de datos, es decir, a otro agente que lleva a cabo el procesamiento de datos personales en nombre del controlador de datos, debe celebrar un Acuerdo de Procesamiento de Datos (DPA). Esto se regula en el artículo 28 del RGPD, que contiene información sobre los requisitos mínimos relativos al contenido del acuerdo de tratamiento de datos.
El Acuerdo de procesamiento de datos debe ser por escrito para que sea válido de acuerdo con el RGPD. Por ejemplo, las empresas suelen utilizar servicios en la nube para realizar copias de seguridad. En tales casos, la empresa que opera el servicio en la nube es un procesador de datos.
Además, un encargado del tratamiento celebrará un acuerdo de tratamiento de datos si, a su vez, contrata a otro encargado del tratamiento para que lleve a cabo el tratamiento de datos personales en nombre del responsable del tratamiento.
Registro de actividades de tratamiento (ROPA) con información sobre el tratamiento de datos personales
Algunas empresas necesitan elaborar un registro de sus actividades de procesamiento, que contenga información sobre el procesamiento de datos personales realizado por la empresa. Deberá presentarse por escrito y la autoridad nacional de protección de datos podrá solicitar el acceso a la lista. Previa solicitud, la sociedad la pondrá a su disposición. Tenga en cuenta que no todas las operaciones de tratamiento deben incluirse necesariamente en el registro, sino solo aquellas operaciones de tratamiento que cumplan los criterios establecidos en el artículo 30, apartado 1, del RGPD.
Registro específico para los encargados del tratamiento de datos personales
No solo los responsables del tratamiento necesitan tener un registro escrito de las actividades de tratamiento. Los encargados del tratamiento también deben establecer un registro especial de conformidad con el artículo 30, apartado 2, del RGPD. Contendrá información sobre todas las operaciones de tratamiento que lleven a cabo en nombre de un responsable del tratamiento. Incluye información sobre quiénes son los responsables del tratamiento, sus datos de contacto e información sobre las operaciones de tratamiento.
Diferentes tipos de evaluaciones
Es posible que las empresas deban realizar ciertas evaluaciones antes de procesar los datos personales. Por ejemplo, una evaluación de impacto de la protección de datos (DPIA) o una evaluación del interés legítimo (LIA) con un equilibrio documentado de intereses.
Es importante que las evaluaciones se documenten por escrito, ya que es un requisito que las empresas puedan demostrar que cumplen con el RGPD en la práctica, de acuerdo con el principio de responsabilidad. En el caso de la supervisión, la autoridad responsable de la protección de datos podrá solicitar ver a los evaluadores.
Evaluación de impacto de la protección de datos (DPIA)
Cuando una empresa trate datos personales que puedan suponer un alto riesgo para los derechos y libertades de los interesados, llevará a cabo una evaluación de impacto relativa a la protección de datos. El propósito es ver qué riesgos conlleva el procesamiento y qué puede hacer la empresa para responder a ellos. Por ejemplo, mediante el desarrollo de procedimientos adecuados y la aplicación de medidas de seguridad técnicas y organizativas adecuadas.
Sanción a una empresa finlandesa que no haya llevado a cabo una evaluación de impacto
En una de las tres decisiones de esta supervisión, la autoridad finlandesa de protección de datos concluyó que la empresa en cuestión debería haber llevado a cabo una evaluación de impacto al procesar la información de ubicación de sus empleados mediante la localización de vehículos a través de un sistema de datos de conducción. Debido a esta violación de las normas del RGPD, la empresa tuvo que pagar una multa de 16 000 euros.
Evaluación del impacto de la transferencia de datos (DTIA)
Si una empresa tiene la intención de transferir datos personales a un tercer país que no proporcione un nivel adecuado de protección en virtud de una decisión de la Comisión Europea, la empresa llevará a cabo una evaluación de impacto de la transferencia de datos. Esto debe hacerse antes de que se complete la transferencia.
El objetivo es analizar al destinatario de los datos personales, incluido el país destinatario, para averiguar si la transferencia es suficientemente segura. Además, es importante analizar las leyes y regulaciones de protección de datos del país receptor y los derechos que los interesados pueden tener en el país receptor.
Evaluación del interés legítimo (LIA)
Las empresas pueden tener un interés legítimo en llevar a cabo un determinado tipo de tratamiento de datos personales. En otras palabras, los intereses de la empresa superan a los de los interesados. Además, el procesamiento debe ser necesario para lograr el propósito. Por ejemplo, puede ser necesario que una empresa lleve a cabo un determinado procesamiento para prevenir el fraude u otro delito. En tales casos, esto puede constituir un interés legítimo.
En resumen, la base jurídica «Interés legítimo» significa que los datos personales pueden ser tratados por la empresa sin el consentimiento del interesado, sin que sea necesario para la celebración o ejecución de un contrato y sin que exista una obligación legal de llevar a cabo el tratamiento.
Consulta previa a la autoridad de control
Cuando persista un alto riesgo para los derechos y libertades de los interesados después de que la empresa haya llevado a cabo una evaluación de impacto y haya adoptado las garantías adecuadas sobre la base de dicha evaluación, la empresa solicitará una consulta previa con la autoridad nacional de protección de datos. Tenga en cuenta que la empresa debe preparar una evaluación de impacto antes de solicitar la consulta previa o comenzar el procesamiento.
MÁS INFORMACIÓN SOBRE RGPD
Tratamiento de datos personales en el sector empresarial
Es común procesar datos personales dentro del sector empresarial en diferentes contextos. Por ejemplo, las empresas suelen tratar datos personales al contratar personal, tratar los datos personales de los empleados, como los datos de contacto, las bajas por enfermedad y la información de la cuenta, etc. Además, las empresas que operan servicios en línea o tienen un sitio web suelen tratar los datos personales de clientes potenciales o existentes. Es importante conocer, entre otras cosas, el papel de la empresa y los derechos de los interesados.