MEDIDAS - RGPD
La Política de Privacidad es un documento de gobierno interno
Una política de privacidad es un documento de gobierno interno que, entre otras cosas, describe la visión general del trabajo con protección de datos para los empleados y les brinda un marco claro para comenzar.
¿Qué es una Política de Privacidad?
Una política de privacidad describe cómo la empresa debe trabajar internamente de acuerdo con el RGPD. Proporciona orientación a los empleados sobre cómo pensar en sus tareas en relación con las reglas del RGPD. La política describe, entre otras cosas, qué principios de protección de datos se aplican y cómo la empresa debe aplicarlos, las bases legales que utiliza la empresa, los roles y responsabilidades, etc.
¿Cuál es la diferencia entre una Política de Privacidad y un Aviso de Privacidad?
Es común confundir una política de privacidad y un aviso de privacidad. No son lo mismo. En pocas palabras, un aviso de privacidad es un documento externo dirigido a los interesados y que debe publicarse en el sitio web de la empresa. Debe incluir, entre otras cosas, una descripción de la base jurídica del tratamiento, la finalidad, los derechos de los interesados, el período de conservación, etc. Una política de privacidad es, en cambio, un documento interno para los empleados de una empresa, que trata de cómo deben relacionarse con la protección de datos en su trabajo.
Por qué puede ser bueno para las empresas tener una política de privacidad
- Proporciona un marco claro para los empleados sobre cómo procesar los datos personales de acuerdo con el RGPD.
- Describe los principios básicos en relación con los propios procesos de la empresa.
- Crea una buena estructura y seguridad interna.
¿Qué partes son buenas para incluir en una política de privacidad?
Principios
Hay siete (7) principios básicos del RGPD que impregnan todo el marco regulatorio. Describa cómo la empresa los sigue en la política de privacidad.
Funciones y responsabilidades
Es bueno dejar claro quién va a hacer qué. Al tener líneas claras de responsabilidad, la empresa puede evitar errores y malentendidos.
Bases jurídicas utilizadas
Las empresas sujetas al RGPD siempre deben tener una base legal para el tratamiento de datos personales. Es bueno aclarar en la política de privacidad qué bases legales se utilizan en qué situaciones.
Período de almacenamiento y restricción de acceso
La empresa borrará los datos personales periódicamente, así como cuando un interesado lo solicite de conformidad con sus derechos. Es bueno incluir los requisitos de borrado, posibles excepciones, en qué principios se basa la empresa cuando accede a permisos, etc.
Requisitos de seguridad
Son los empleados los que trabajan con medidas relacionadas con RGPD en la práctica. Por lo tanto, es importante que sepan cómo actuar correctamente, para seguir las instrucciones internas y no violar el RGPD. Por ejemplo, información sobre las medidas de seguridad técnicas y organizativas que deben adoptar.
Tratamiento de las violaciones de la seguridad de los datos personales
Es importante que los empleados sepan cómo actuar en caso de violaciones de datos personales. Por ejemplo, a quién informar internamente y cuáles son los plazos aplicables. Según el RGPD, ciertos tipos de violaciones de datos personales deben notificarse a la autoridad nacional de protección de datos dentro de las 72 horas posteriores a la detección. Por lo tanto, es importante que los empleados sepan cómo actuar en caso de un incidente, para que cumplan con los requisitos legales.
Documentación
La empresa debe ser capaz de demostrar que cumple con el RGPD y esto significa, entre otras cosas, que se debe establecer la documentación escrita adecuada del RGPD. Por lo tanto, es bueno aclarar qué, dónde y cómo deben documentar los empleados.
Compartir con terceros
Las empresas suelen compartir datos personales con terceros, es decir, un tercero. Es bueno especificar cuándo puede tener lugar esto, cuándo las partes necesitan celebrar un acuerdo escrito de procesamiento de datos, tiempos para el seguimiento y los controles, etc.
Educación
Los empleados necesitan alguna formación en RGPD para saber cómo realizar sus tareas de acuerdo con la regulación. Por lo tanto, es bueno incluir requisitos de formación en una política de privacidad, como en relación con el embarque y el desembarque, así como cursos de formación específicos más detallados para los empleados que procesan datos personales importantes o un tratamiento que plantea un alto riesgo para los interesados.
Establecer procedimientos para proporcionar instrucciones prácticas sobre cómo los empleados deben cumplir con lo que se establece en la política
Una política es un documento de gobierno interno general con objetivos estratégicos, mientras que las rutinas son instrucciones prácticas para los empleados sobre cómo lograr los objetivos. Por lo tanto, a menudo es apropiado establecer diferentes rutinas para ayudar a los empleados a seguir la visión en la política.
APRENDE MÁS
Establecer una política de seguridad de TI
Otra política que puede ser buena para que las empresas establezcan es una política de seguridad de TI. Regula cómo se debe proteger el entorno de TI de una manera integral y estratégica. Por ejemplo, los principios en los que la empresa basa el control de acceso, la asignación de responsabilidades, las medidas técnicas de seguridad adoptadas por la empresa, etc. Una política de seguridad informática es un marco general en el que se basan otros documentos de seguridad, como una rutina de contraseñas.