INFORMACIÓN SOBRE RGPD
Procedimientos internos e instrucciones para los empleados
De acuerdo con el principio de responsabilidad, la empresa debe poder demostrar que cumple con el RGPD en la práctica. Una forma de hacerlo es documentando los procedimientos y procesos internos por escrito. También es una excelente manera de informar a los empleados sobre cómo manejar los datos personales en la práctica. De esta manera, la empresa puede garantizar más fácilmente que los empleados procesen los datos personales correctamente, de acuerdo con los procedimientos escritos. Por lo tanto, existen varias ventajas de contar con procedimientos escritos.
Complementar las rutinas internas con listas de verificación
Un complemento a estas rutinas es establecer incluso listas de verificación inteligentes que los empleados puedan usar en diferentes situaciones. Las listas de verificación pueden referirse, por ejemplo, a puntos de acción y pasos importantes para implementar en situaciones específicas. Por ejemplo, una lista de verificación para usar al recopilar el consentimiento. O una lista de verificación para usar en caso de una violación de datos personales.
Ejemplos de procedimientos internos e instrucciones escritas a los empleados
A continuación, recopilamos algunos ejemplos de procedimientos internos e instrucciones a los empleados que las empresas pueden implementar y redactar por escrito. Tenga en cuenta que hay muchos más procedimientos internos que los que mencionamos aquí, dependiendo de la actividad y las necesidades de la empresa.
Procedimientos internos de gestión de autorizaciones
Es importante controlar los permisos y derechos de acceso de los empleados a los sistemas que tratan datos personales. El propósito es garantizar que solo aquellos empleados que necesitan acceso a los datos personales tengan acceso a ellos.
Beneficios de implementar la gestión de autorizaciones
Un complemento a estas rutinas es establecer incluso listas de verificación inteligentes que los empleados puedan usar en diferentes situaciones. Las listas de verificación pueden referirse, por ejemplo, a puntos de acción y pasos importantes para implementar en situaciones específicas. Por ejemplo, una lista de verificación para usar al recopilar el consentimiento. O una lista de verificación para usar en caso de una violación de datos personales.
Procedimientos internos para tramitar las solicitudes de los interesados para ejercer sus derechos en virtud del RGPD
Según RGPD, los interesados tienen varios derechos diferentes con respecto a sus datos personales. Entre otras cosas, el derecho de acceso a los datos personales tratados, el derecho a la rectificación de los datos personales y el derecho a la supresión de los datos personales.
Cuando un interesado presenta a la empresa una solicitud relativa a sus derechos en virtud del RGPD, la empresa debe poder cumplirlos. La tramitación de dicha solicitud tendrá lugar en el plazo de un mes. En algunos casos excepcionales, el plazo podrá prorrogarse otros dos meses. En este caso, el interesado debe ser informado en el primer mes.
La respuesta debe cumplir con los requisitos de contenido
Los procedimientos internos escritos pueden facilitar a los empleados la gestión correcta de las solicitudes de derechos de los interesados, de conformidad con las normas del RGPD. El RGPD contiene disposiciones claras sobre lo que debe contener la respuesta al interesado. Es una violación del RGPD no manejar correctamente la solicitud del interesado. Por lo tanto, es importante informar a los interesados sobre cómo hacerlo correctamente.
Crear plantillas de respuesta que los empleados puedan usar
Al implementar procedimientos escritos claros, los empleados pueden responder más fácilmente a la solicitud del interesado y manejarla correctamente de acuerdo con el RGPD. Por ejemplo, la empresa también puede incluir en sus procedimientos internos plantillas de respuesta que los empleados pueden utilizar. Esto asegura una comunicación más consistente por parte de la empresa y guía al empleado en la práctica. Por supuesto, el empleado necesita ajustar y adaptar las plantillas de respuesta a cada caso individual. Sin embargo, es mucho más fácil que formular una respuesta correcta desde cero.
Procedimientos internos para el tratamiento de las violaciones de la seguridad de los datos personales en virtud del RGPD
Es muy importante que la empresa maneje las violaciones de datos personales de una manera rápida y eficiente. Además, determinadas violaciones de datos personales deben notificarse a la autoridad de control en un plazo de 72 horas a partir de su detección. Y en algunos casos, la empresa también debe informar a los interesados afectados. Por lo tanto, es extremadamente importante que la empresa haya preparado procedimientos internos para hacer frente a tales situaciones. El tiempo es muy valioso en estas situaciones, y los procedimientos escritos realmente pueden facilitar todos los procesos que deben llevarse a cabo en caso de una violación de datos personales.
Lista de verificación para una visión general fácil de los pasos importantes a implementar
Una rutina interna para manejar violaciones de datos personales puede complementarse útilmente con una lista de verificación. Esto hace que sea más fácil para los empleados obtener rápidamente una visión general de los pasos más críticos que deben tomarse para que la empresa actúe correctamente de acuerdo con RGPD. La información sobre el incidente debe fluir internamente dentro de la empresa a las partes relevantes, como la junta, los socios, etc. Al mismo tiempo, debe comenzar la investigación interna del incidente. A partir de entonces, es posible que las personas del departamento de TI o los procesadores de datos también deban participar en el proceso.
Documentar cada violación de datos personales en un cuaderno diario de pesca
La empresa debe registrar todas las medidas tomadas cuidadosamente y documentar el curso de los acontecimientos en un libro de registro de la violación de datos personales en cuestión. Toda la documentación puede ser utilizada si es necesario en relación con un proceso legal o similar y por lo tanto es bueno tener cuidado en este trabajo de documentación. Por ejemplo, la empresa debe documentar cuándo tuvo conocimiento de la violación de datos personales (fecha y hora), descripción del curso de los acontecimientos, registro de las acciones tomadas después del descubrimiento (sellos de tiempo y descripción), etc.
Instrucciones para compartir información interna
Los procedimientos internos para tratar las violaciones de datos personales también deben contener información clara sobre qué personas de la empresa deben ser contactadas en el caso. Esto es para garantizar que los empleados que descubren el incidente sepan a quién recurrir.
Procedimientos internos para la recogida y el registro de los consentimientos en virtud del RGPD
Las empresas que procesan datos personales basados en el consentimiento deben poder demostrar el consentimiento obtenido y su validez. Por lo tanto, es importante que la empresa se asegure de que los consentimientos obtenidos estén documentados de manera estructurada y clara.
Requisitos para que el consentimiento se considere válido en virtud del RGPD
El RGPD define el consentimiento válido del interesado como una indicación libre, específica, informada e inequívoca de los deseos del interesado mediante los cuales el interesado consiente el tratamiento de sus datos personales. La aceptación podrá hacerse mediante una declaración o mediante un acto confirmatorio inequívoco.
Procedimientos e instrucciones sobre cómo obtener consentimientos válidos
Por lo tanto, el RGPD contiene normas y requisitos estrictos que deben cumplirse para que el consentimiento se considere válido. Una forma en que las empresas pueden tratar de garantizar la recopilación de consentimientos válidos es establecer procedimientos internos escritos que los empleados deben seguir en dicho proceso. De esta manera, la empresa puede facilitar a los empleados la recopilación de consentimientos válidos. El procedimiento interno documentado para manejar los consentimientos también puede complementarse útilmente con una lista de verificación que los empleados deben seguir. El propósito de la lista de verificación debe ser garantizar que los empleados no pierdan ningún paso crítico en el proceso.
Documentar todos los consentimientos obtenidos
Cuando se haya obtenido el consentimiento, la empresa también lo documentará en un cuaderno diario de consentimientos. Entre otras cosas, con una nota de cuándo se recopiló el consentimiento, la finalidad del procesamiento de los datos personales y qué información recibió el interesado al recopilar el consentimiento.
MÁS INFORMACIÓN SOBRE RGPD
Formación para empleados
Son los empleados de la empresa los que trabajan en la práctica con las tareas diarias del RGPD, como responder a las solicitudes de los interesados para cumplir con sus derechos en virtud del RGPD. Por lo tanto, es importante que los empleados que trabajan con tareas relacionadas con RGPD tengan las habilidades adecuadas, y el empleador debe ofrecerles capacitación relevante. Además, es bueno crear instrucciones escritas sobre el procesamiento de datos personales para facilitar a los empleados, minimizar los riesgos de errores y hacer que el trabajo sea más eficiente.