ACUERDOS Y DOCUMENTOS
Acuerdos y documentos relacionados con RGPD que las empresas pueden necesitar
Existen varios acuerdos y documentos relacionados con el RGPD que las empresas pueden necesitar elaborar para cumplir con el Reglamento General de Protección de Datos (RGPD) de la UE, que entró en vigor en mayo de 2018.
Aquí hay ejemplos de algunos acuerdos y documentos relacionados con RGPD que las empresas pueden necesitar bajo RGPD
RGPD se aplica a todas las empresas que operan en la UE y procesan datos personales. La regulación de la UE impone altas exigencias a las empresas que deben ser capaces de demostrar que cumplen con el RGPD. La carga de la prueba del cumplimiento recae en la empresa, no en la persona que afirma que la empresa incumple la normativa. Esto significa, entre otras cosas, que la empresa necesita tener acuerdos y documentos apropiados relacionados con RGPD. Cuanto más grande es la empresa, más trabajo de RGPD generalmente se requiere.
Crear y publicar un aviso de privacidad
Las empresas deben informar a los interesados sobre el tratamiento de sus datos personales de conformidad con el artículo 13 del RGPD y el artículo 14 del RGPD. Esto suele adoptar la forma de un aviso de privacidad que, entre otras cosas, debe contener información sobre la finalidad del tratamiento, la duración del tratamiento, qué derechos tienen los interesados, cuál es la base jurídica, etc. El aviso de privacidad debe publicarse en el sitio web y ponerse a disposición a través de un enlace en todas las demás tiendas digitales de la empresa, por ejemplo, al final de los correos electrónicos, junto a los formularios de contacto, en las redes sociales, etc.
Un error común en los sitios web
Muchas empresas tienen un formulario de contacto en su sitio web, donde los visitantes pueden enviar mensajes a la empresa o pedir un producto o servicio de la empresa. Por lo general, el visitante debe completar sus datos de contacto en el formulario para poder enviar el mensaje. Implica el procesamiento de datos personales y, por lo tanto, la empresa debe informar sobre el procesamiento, antes de enviar el mensaje. Por lo tanto, es mejor tener un breve texto descriptivo con un enlace al aviso de privacidad, que el visitante certifique que ha leído al enviar el aviso a través del formulario de contacto.
Concluir un Acuerdo de Procesamiento de Datos (DPA)
Cuando un responsable del tratamiento contrata a un encargado del tratamiento de datos, debe celebrar un acuerdo de tratamiento de datos de conformidad con el artículo 28 del RGPD. Lo mismo se aplica cuando un procesador de datos contrata a un subprocesador.
Ejemplos de cuándo es común contratar un procesador de datos:
Contabilidad
Si una empresa contrata a una empresa de contabilidad para administrar la contabilidad continua de la empresa y la nómina de los empleados.
Comercialización
Cuando una empresa contrata a una agencia de marketing para gestionar el marketing y las estadísticas en nombre de la empresa.
El Acuerdo de Procesamiento de Datos debe ser por escrito para que sea válido
La mayoría de los acuerdos pueden ser orales, pero tienen la misma validez que un acuerdo escrito. Por otro lado, es más fácil probar acuerdos escritos en caso de disputa o probar el cumplimiento de una ley en particular. Sin embargo, algunos acuerdos deben ser por escrito para que sean válidos, ya que es un requisito formal de la ley. Los acuerdos de procesamiento de datos personales y los acuerdos de subprocesamiento de datos personales son aquellos tipos de acuerdos formales que deben estar por escrito por ley para ser válidos. El requisito escrito se establece en el artículo 28, apartado 3, del RGPD.
Las empresas pueden necesitar establecer un Registro de Actividades de Procesamiento (ROPA)
Algunas empresas necesitan establecer un Registro de Actividades de Procesamiento (ROPA) de acuerdo con el Artículo 30 del RGPD. Esto se aplica tanto a ciertos controladores como a procesadores. El registro se hará por escrito y estará disponible electrónicamente. Además, se mantendrá actualizado a lo largo del tiempo y se pondrá a disposición de la autoridad de control previa solicitud.
No todas las empresas necesitan tener un Registro de Actividades de Procesamiento (ROPA)
Algunas empresas deben tener un Registro de Actividades de Procesamiento (ROPA) de acuerdo con RGPD. Esto se aplica si la empresa tiene más de 250 empleados. Sin embargo, algunas empresas con menos empleados también pueden necesitar tener dicho registro. Por ejemplo, si la empresa lleva a cabo el tratamiento de datos personales sensibles, o si es muy probable que el tratamiento dé lugar a un alto riesgo para los derechos y libertades de los interesados, o en el caso de un tratamiento recurrente (es decir, el tratamiento no es temporal). Como resultado, solo unas pocas empresas no necesitan elaborar un Registro de Actividades de Procesamiento (ROPA).
Acuerdo de intercambio de datos dentro del grupo (IGA)
El hecho de que las empresas formen parte del mismo grupo de empresas no significa que puedan transferir datos personales entre sí de ninguna manera. Por lo tanto, es importante establecer un acuerdo intragrupo sobre el intercambio de datos personales, en el que las partes regulen sus funciones, las bases jurídicas para el tratamiento, la responsabilidad, etc. Tal acuerdo de intercambio de datos intragrupo (IGA) es un acuerdo completo y complejo, pero importante dentro de los grupos. Como resultado, no es necesario celebrar muchos acuerdos de procesamiento de datos (DPA), acuerdos de intercambio de datos (DSA), etc. entre las partes, ya que todo el intercambio de datos que puede tener lugar entre las empresas dentro del grupo está regulado en un acuerdo intragrupo compilado.
Acuerdos de intercambio de datos (DSA) cuando las empresas comparten datos personales entre sí
Cuando al menos dos empresas comparten datos personales entre sí, pero son responsables independientes del tratamiento de datos, es bueno que establezcan y celebren acuerdos de intercambio de datos. El acuerdo de intercambio de datos regula, entre otras cosas, por qué tiene lugar el intercambio, qué categorías de datos personales se comparten, las medidas de seguridad adoptadas por las empresas, el reparto de responsabilidades entre las partes en el ejercicio de los derechos de los interesados, etc. Es bueno elaborar un acuerdo de intercambio de datos por escrito, ya que reduce el riesgo de confusión y aclara el reparto de responsabilidades entre las partes. Esto, a su vez, puede reducir el riesgo de que el tratamiento de los datos personales compartidos por cada parte se lleve a cabo infringiendo el RGPD.
Plan de continuidad para gestionar las crisis
Es bueno que las empresas estén preparadas para posibles crisis. Un plan de continuidad de negocio describe los procesos críticos que tiene la empresa y que necesitan trabajar, para que la empresa continúe su trabajo. Las empresas deben ser capaces de gestionar las crisis de manera eficaz y garantizar que las operaciones continúen, incluso durante las crisis. Por lo tanto, es bueno facilitar a los empleados el desarrollo de un plan escrito de continuidad del negocio que les permita gestionar las crisis en la práctica.
Establecer acuerdos internos de confidencialidad para los empleados
Una empresa como empleador debe redactar acuerdos escritos de confidencialidad y celebrarlos con sus empleados. También es común que los empleadores incluyan una cláusula de confidencialidad en el contrato de trabajo. En algunos casos, la empresa está obligada por ley o acuerdo a acordar la confidencialidad con su personal. Por lo tanto, es una ventaja que se celebre un acuerdo de confidencialidad por separado, en lugar de que se incluya como cláusula contractual en el contrato de trabajo, ya que es menos intrusivo presentar el acuerdo de confidencialidad si es necesario.
Políticas para cumplir con el RGPD
Hay una serie de políticas diferentes que pueden ser buenas para que las empresas establezcan, para ayudar a los empleados a cumplir con las reglas de RGPD. Por ejemplo:
Política de seguridad informática
Una política de seguridad de TI es un documento de política de gobierno que se ocupa de las reglas de la compañía para su protección de datos personales. Por ejemplo, qué reglas de derecho de acceso tiene la empresa, cómo debe manejar las violaciones de datos personales, proteger las contraseñas, etc. En otras palabras, una política de seguridad de TI proporciona un marco para las medidas técnicas y organizativas que la empresa debe tomar, para proteger los datos personales.
Política de privacidad
Una política de privacidad no es lo mismo que un aviso de privacidad. Un aviso de privacidad es un documento informativo externo dirigido a los interesados, mientras que una política de privacidad es un documento de gobierno interno para los empleados de la empresa. Allí, la empresa describe, entre otras cosas, qué principios de protección de datos se aplican al procesamiento de datos personales, cómo los empleados deben trabajar correctamente con el procesamiento de datos personales, etc.
Diferencia entre políticas y procedimientos
Muchas personas confunden políticas y procedimientos. Políticas es un documento de política más integral que es estratégico con una visión y dirección. A diferencia de los procedimientos escritos, que consisten en instrucciones más prácticas para los empleados sobre cómo lograr los objetivos establecidos en las políticas. Así pues, los procedimientos tienen por objeto regular medidas e instrucciones más operativas y concretas.
Los procedimientos son instrucciones prácticas por escrito para los empleados
Para garantizar que los empleados trabajen de acuerdo con el RGPD, es bueno establecer procedimientos escritos que puedan seguir. Una buena regla general es que cuantos más empleados y departamentos tenga una empresa, más rutinas pueden ser apropiadas para establecer e implementar. Los procedimientos agilizan el trabajo de los empleados y pueden conducir a un mayor grado de cumplimiento práctico de las normas del RGPD.
Borrado
Las empresas deben borrar los datos personales de forma regular. Al disponer de un procedimiento de supresión, la empresa se asegura de que no traten los datos personales durante más tiempo del necesario para la finalidad para la que fueron recogidos.
Derechos de los interesados
Las empresas deben cumplir con los derechos de los interesados, como el derecho a la rectificación, el derecho al olvido, el derecho a la información sobre el procesamiento, etc. Además, el procesamiento debe tener lugar dentro de ciertos plazos. Uno de los procedimientos que la mayoría de las empresas deberían tener es, por lo tanto, procedimientos para poder satisfacer los derechos de los interesados.
Onboarding y offboarding
Es bueno que una empresa tenga procedimientos e instrucciones por escrito para el proceso de incorporación de nuevos empleados, de modo que estén capacitados en el trabajo de protección de datos de la empresa (rutinas para la incorporación). Por ejemplo, los procedimientos pueden regular la asignación de permisos, cuentas de usuario, equipos, reglas importantes de seguridad, etc. Cuando un empleado deja de trabajar en la empresa, es bueno tener procedimientos para revocar permisos, regular la devolución de cualquier equipo, como un ordenador de trabajo, etc.
Intercambio interno de datos
Los empleados de una empresa suelen compartir datos personales entre sí internamente. Es importante que el intercambio de datos se lleve a cabo de conformidad con el RGPD. En particular, solo los empleados tendrán acceso a los datos personales, en la medida necesaria para el desempeño de sus funciones. En resumen, la empresa y sus empleados deben compartir datos personales sobre la base del principio de «necesidad de saber», no de «bien saber». Esto es especialmente importante en lo que respecta al tratamiento de datos personales sensibles.
Obtención y retirada del consentimiento
Para que un consentimiento sea válido, debe obtenerse correctamente. Esto significa, entre otras cosas, que el consentimiento debe darse libremente y activamente y que el interesado está informado sobre el procesamiento. Además, debería ser tan fácil retirar un consentimiento como darlo. Al tener procedimientos para obtener y retirar el consentimiento, las posibilidades de que suceda correctamente aumentan.
Gestión de redes sociales y fotografía
Muchas empresas publican datos personales en las redes sociales, tanto empleados relacionados como, en algunos casos, incluso clientes. Por ejemplo, un restaurante que toma fotos en las instalaciones, donde los huéspedes pueden ser identificados en las fotos. O cuando una empresa de corretaje publica fotos de perfil de sus corredores en el sitio web. Es importante no olvidar que esto constituye un tratamiento de datos personales y, por lo tanto, está cubierto por el RGPD.
Diferentes evaluaciones que las empresas pueden necesitar hacer de acuerdo con RGPD
Las empresas que están sujetas al RGPD pueden necesitar llevar a cabo ciertas evaluaciones antes de que se lleve a cabo un determinado procesamiento de datos personales. Lo mismo puede aplicarse durante una actividad de tratamiento en curso que cambie de tal manera que sea adecuado llevar a cabo las evaluaciones. A continuación se presentan ejemplos de varias evaluaciones que las empresas pueden necesitar hacer de acuerdo con el RGPD.
Evaluación de riesgos antes de las actividades de tratamiento
Es posible que las empresas deban llevar a cabo una evaluación de riesgos antes de empezar a tratar datos personales. En otras palabras, analizar los riesgos que el tratamiento puede suponer para los derechos y libertades de los interesados. Las empresas llevarán a cabo una evaluación de riesgos antes de introducir nuevos sistemas, actividades de tratamiento o utilizar nuevas tecnologías. Una vez que la empresa ha llevado a cabo una evaluación de riesgos, pueden tener un mejor conocimiento de las medidas técnicas y organizativas adecuadas que la empresa debe adoptar, con el fin de minimizar los riesgos.
Evaluación de impacto de la protección de datos (DPIA)
Cuando el tratamiento entrañe un alto riesgo para los derechos y libertades de los interesados, puede ser necesario llevar a cabo una evaluación de impacto sobre la protección de datos. Esto se regula con más detalle en el artículo 35 del RGPD. Por ejemplo, si una empresa procesa datos personales sensibles a gran escala o toma decisiones totalmente automatizadas. La evaluación de impacto demostrará los riesgos identificados por la empresa, así como las salvaguardias adoptadas para minimizarlos. Si el riesgo persiste después de las medidas adoptadas, la empresa debe solicitar una consulta previa con la autoridad nacional de protección de datos antes de iniciar el tratamiento, de conformidad con el artículo 36 del RGPD.
Evaluación del impacto de la transferencia de datos (DTIA)
Si una empresa dentro del área UE/EEE transfiere datos personales a un tercer país, es decir, un país fuera del área UE/EEE, puede ser necesario llevar a cabo una evaluación de impacto de la transferencia de datos (DTIA). Se trata principalmente de analizar si el país receptor tiene un nivel de protección suficientemente elevado.
La evaluación de impacto de las transferencias de datos puede constituir una salvaguardia adicional adecuada
Si el tercer país tiene un nivel adecuado de protección de acuerdo con la decisión de la Comisión Europea, la empresa no necesita llevar a cabo una evaluación de impacto de las transferencias de datos cuando se transfieren allí. Sin embargo, puede ser apropiado realizarlo de todos modos, ya que pueden requerirse salvaguardias adicionales. El objetivo principal de la evaluación de impacto es analizar el país receptor. Por ejemplo, su legislación, qué posibilidades tienen las autoridades para acceder a los datos personales tratados por las empresas, qué posibilidades legales tienen los interesados para proteger sus derechos, etc.
Evaluación de interés legítimo (LIA) para determinar si la empresa tiene un interés legítimo (LIA)
La evaluación del interés legítimo es una evaluación común que muchas empresas deben hacer. Esto se hace si la empresa utiliza la base jurídica «interés legítimo» de conformidad con el artículo 6, apartado 1, letra f), del RGPD para apoyar el tratamiento de datos personales. Tenga en cuenta que no está permitido hacer valer un interés legítimo, a menos que haya un equilibrio documentado de intereses. Por lo tanto, es importante realizar y documentar el equilibrio de intereses, antes de comenzar el procesamiento de datos personales.
Consulta previa a la autoridad nacional de protección de datos
Si el riesgo para los derechos y libertades de los interesados sigue siendo alto después de que la empresa haya llevado a cabo una evaluación de impacto de la protección de datos (DPIA) de conformidad con el artículo 35 del RGPD, la empresa solicitará una consulta previa con la autoridad nacional de protección de datos. Así se establece en el artículo 36 del RGPD. Posteriormente, la autoridad de protección de datos podrá realizar una evaluación y concluir que el tratamiento en cuestión está permitido o prohibido. La autoridad de control también puede hacer recomendaciones sobre lo que la empresa debe hacer para que se permita el tratamiento. Tenga en cuenta que la empresa debe llevar a cabo y documentar una evaluación de impacto antes de solicitar una consulta previa.
APRENDE MÁS
Transferencias a terceros países
Según el RGPD, un tercer país es un país fuera de la UE / EEE. Cuando una empresa de la UE o del EEE transfiere datos personales a un tercer país, las normas son más estrictas que si se compartieran datos entre agentes de dos países de la Unión. Si ese tercer país tiene un nivel adecuado de protección, la empresa no necesita tomar ninguna salvaguardia adicional para transferir datos personales allí. Ejemplos de salvaguardias adicionales podrían ser la celebración de cláusulas contractuales tipo adoptadas por la Comisión Europea. Tenga en cuenta que solo la Comisión Europea puede decidir si un tercer país tiene un nivel adecuado de protección. Esto no depende de la empresa para decidir.