INFORMACIÓN SOBRE RGPD
Tratamiento de datos personales en relación con la comunicación de la empresa
El tratamiento de datos personales en relación con la comunicación de la empresa con los interesados es a menudo necesario, y también muy común. Esto se aplica tanto a la comunicación interna dentro de la empresa (por ejemplo, a los empleados) como a la comunicación externa fuera de la empresa (por ejemplo, a clientes, proveedores u otros socios comerciales).
El tratamiento de datos personales en relación con la comunicación de la empresa con los interesados debe llevarse a cabo de conformidad con las normas aplicables.
Las normas relativas al tratamiento de datos personales en relación con la comunicación de la empresa con los interesados difieren, dependiendo del tipo de empresa y de qué se trate la comunicación.
Por ejemplo, hay una diferencia entre si varios médicos se comunican entre sí sobre problemas relacionados con sus pacientes por correo electrónico, o si una empresa emergente que crea sitios web envía mensajes de marketing a clientes potenciales. Cuanto más importantes sean los datos personales, mayores serán los requisitos para una ruta de comunicación segura.
Comunicaciones de la empresa con los interesados por correo electrónico
El correo electrónico es un canal de comunicación común para las empresas. Tanto para la comunicación interna como externa. Por ejemplo, por empleados que usan el correo electrónico para la comunicación interna con otros empleados, o por la empresa que tiene una dirección de correo electrónico publicada en su sitio web oficial que los clientes pueden usar para enviar preguntas por correo electrónico al servicio al cliente.
¿Qué base jurídica debe utilizarse para los correos electrónicos de marketing?
El tratamiento de datos personales en relación con la comunicación de la empresa con los interesados debe basarse en una base jurídica de conformidad con el artículo 6 del RGPD. Es común que las empresas utilicen el consentimiento o el interés legítimo como base legal al enviar correos electrónicos con fines de marketing. Tenga en cuenta que la empresa debe dejar de enviar correos electrónicos si el interesado lo solicita, de conformidad con los derechos de los interesados en virtud del RGPD.
¿Qué considerandos del RGPD mencionan el marketing directo?
El considerando 47 del RGPD establece expresamente que el tratamiento de datos personales con fines de marketing directo puede considerarse un interés legítimo. Sin embargo, puede ser importante saber que otras leyes nacionales de marketing pueden regular los requisitos de consentimiento para la comercialización directa por correo electrónico a nuevos clientes potenciales.
El considerando 70 del RGPD establece que el interesado tendrá derecho a oponerse al tratamiento en cualquier momento, de forma gratuita, cuando los datos personales del interesado se utilicen con fines de marketing directo. Además, este derecho debe comunicarse explícitamente al interesado y presentarse de forma clara y separada de otra información.
¿Está permitido enviar nóminas por correo electrónico?
La respuesta corta a la pregunta es: Depende. Si la nómina contiene datos personales confidenciales, el empleador no debe enviarlos al empleado por correo electrónico no cifrado. La baja por enfermedad es un ejemplo de datos personales sensibles en el sentido del artículo 9 del RGPD, ya que constituye datos relativos a la salud. También son datos personales que las empresas generalmente necesitan procesar para poder pagar el salario correcto, y por lo tanto, dicha información generalmente se muestra en la nómina. Tenga en cuenta que es posible enviar una nómina a través de correo electrónico cifrado que constituye una comunicación por correo electrónico segura, solo si se considera que es lo suficientemente segura.
Tratamiento de datos personales en el departamento de Recursos Humanos (HR)
Todo tratamiento de datos personales requiere apoyo sobre una base jurídica
Es importante tener en cuenta que todo procesamiento de datos personales requiere apoyo sobre una base legal para ser legal bajo el RGPD. Dentro del departamento de recursos humanos, también conocido como departamento de recursos humanos, se lleva a cabo gran parte del procesamiento de datos personales. El propósito de un departamento de recursos humanos es, entre otras cosas, brindar apoyo a las operaciones sobre cuestiones operativas, administrativas y estratégicas relacionadas con el personal de la empresa.
El departamento de recursos humanos procesa datos personales en relación con la contratación de empleados, después del empleo, en el desarrollo de habilidades y después de la terminación del empleo de los empleados.
¿Durante cuánto tiempo deben conservarse los datos personales del solicitante de empleo o empleado en la empresa?
La regla principal del RGPD es que los datos personales no se tratarán más tiempo del necesario para la finalidad para la que fueron recogidos. Si una persona no consigue un trabajo después de presentar una solicitud de empleo con su CV a la empresa, generalmente no es necesario que la empresa continúe procesando los datos personales. Por lo tanto, la empresa debe eliminar el CV recibido, así como cualquier correo electrónico relacionado (si fue la ruta de comunicación elegida con el solicitante de empleo).
Sin embargo, puede haber situaciones en las que la empresa necesite guardar los datos personales por más tiempo. Por ejemplo, si la empresa continúa almacenando los datos personales del empleado después de la terminación del empleo para ser una referencia futura, o en la medida en que la legislación aplicable exija el almacenamiento continuo. Hay muchas leyes laborales nacionales que regulan períodos de retención específicos, y en tales casos el procesamiento se lleva a cabo sobre la base de una obligación legal.
Los datos personales de carácter subjetivo generalmente pueden ser percibidos como datos más subjetivos sensibles a la privacidad por el interesado.
Existe una diferencia entre los datos personales de carácter subjetivo u objetivo. Los datos personales de carácter subjetivo son, por ejemplo, un diagnóstico de un médico, una calificación de un profesor o evaluaciones basadas en conversaciones de empleados en una empresa documentadas. Es importante tener en cuenta que los datos personales de carácter subjetivo pueden ser percibidos por el interesado como datos más sensibles a la privacidad. Por lo tanto, deben ser procesados por la empresa con mayor certeza.
Antes del empleo
El empleador procesa los datos personales del solicitante de empleo antes del empleo, cuando el solicitante de empleo se pone en contacto con la empresa para solicitar un trabajo. Por ejemplo, respondiendo a un anuncio de trabajo o enviando una solicitud espontánea de empleo a la empresa, por correo electrónico.
Durante el empleo
Hay muchos datos personales diferentes de los empleados que el empleador procesa mientras el empleo está en curso. Tenga en cuenta que algunos de ellos son datos personales sensibles o subjetivamente sensibles a la privacidad. Por ejemplo, información sobre la baja por enfermedad de los empleados, planes de rehabilitación, evaluación y documentación del desempeño laboral, etc.
Desarrollo de competencias development
No es raro que los empleadores guarden ciertos datos y entrevistas documentadas de los empleados para el desarrollo de habilidades. Estos datos pueden ser percibidos como sensibles a la privacidad. Por lo tanto, es importante procesarlos con mayor seguridad y tener mucho cuidado al eliminarlos cuando ya no sean necesarios.
Tratamiento de datos personales en relación con la comunicación de la empresa con los interesados a través de las redes sociales
Las redes sociales son una parte importante del trabajo de marketing para muchas empresas. Es común con el tratamiento de datos personales en relación con la comunicación de la empresa con los interesados a través de las redes sociales. Por lo tanto, es bueno conocer las reglas al procesar datos personales a través de las redes sociales.
Desafortunadamente, muchas empresas que procesan datos personales a través de las redes sociales creen que no tienen ninguna responsabilidad sobre el procesamiento, ya que creen que solo los proveedores de la plataforma son responsables. Sin embargo, esto no es cierto. La empresa también tiene la responsabilidad de su procesamiento de los datos personales, incluso si el procesamiento se lleva a cabo dentro de una plataforma de redes sociales proporcionada por un proveedor externo.
¿Es la empresa responsable de la eliminación de los datos personales que aparecen en la cuenta de redes sociales de la empresa?
Sí, la empresa es responsable de todo el procesamiento de datos personales que la empresa realice a través de las redes sociales, incluida la eliminación de datos personales cuando ya no sean necesarios. Esto incluye todo, desde fotos o vídeos de personas que la empresa publica en sus redes sociales hasta comentarios sobre las publicaciones y los chats de la empresa en la bandeja de entrada de las redes sociales de la empresa. Entre otras cosas, la empresa debe asegurarse de que los chats antiguos con los interesados a través de las redes sociales se eliminen cuando ya no sean necesarios para que la empresa los procese.
Normas aplicables a las empresas que elaboran perfiles de clientes a través de las redes sociales
Es importante tener en cuenta que las empresas deben saber cómo los proveedores de plataformas actúan y manejan los datos personales antes de comenzar a usar sus plataformas de redes sociales. Esto se debe a que la empresa y el proveedor de la plataforma en cuestión pueden tener la denominada corresponsabilidad del tratamiento en determinados casos. Esto fue confirmado en una sentencia del Tribunal de Justicia de la Unión Europea contra Facebook. Las normas sobre corresponsabilidad del tratamiento se regulan en mayor medida, entre otros, en el artículo 26 del RGPD y en el considerando 79 del RGPD.
Tratamiento de datos personales en relación con la comunicación de la empresa con los interesados a través del sitio web de la empresa
Hay muchas empresas que procesan datos personales a través de sus sitios web. Por ejemplo, a través de cookies, cuando reciben solicitudes a través de formularios de contacto en el sitio web, si tienen algún sistema de inicio de sesión o similar. El punto de partida es que cuanto más importantes sean los datos personales, mayores serán los requisitos de seguridad. Por ejemplo, existe una diferencia entre si una empresa utiliza cookies para analizar cómo se utiliza el sitio web o vende algo por parte del comprador introduciendo su número de tarjeta de crédito que se almacena en los servidores web de la empresa.
Un error común que las empresas a menudo cometen en su sitio web
Muchas empresas tienen un formulario de contacto en su sitio web que los visitantes pueden utilizar para ponerse en contacto con la empresa. Por ejemplo, para hacer preguntas, solicitar un presupuesto o similar. Es común que el visitante necesite completar su nombre, dirección de correo electrónico y posiblemente más información de contacto en el formulario. Muchas veces, la mayoría de los campos del formulario también son obligatorios para poder enviar el mensaje.
Cuando el mensaje se envía a la empresa a través del formulario, los datos personales son procesados por la empresa. Por lo tanto, la empresa debe informar al interesado sobre el procesamiento. Un error común que cometen las empresas es no informar sobre el tratamiento de conformidad con el artículo 13 del RGPD. La información se proporcionará en relación con la recopilación de los datos personales, antes de que los datos personales sean enviados a la empresa, por la empresa que presenta su aviso de privacidad al visitante.
Cookies
Muchos sitios web utilizan y almacenan cookies en el dispositivo del visitante, que pueden constituir datos personales y, por lo tanto, están sujetos al RGPD. Para procesar cookies no esenciales, por ejemplo con fines de marketing, se requiere el consentimiento activo del visitante. Además, la empresa debe cumplir con el requisito de información. Entre otras cosas, la empresa debe presentar un aviso de cookies en su sitio web, con información sobre qué son las cookies, cómo son utilizadas por el sitio web, etc.
MÁS INFORMACIÓN SOBRE EL TRATAMIENTO DE DATOS EN LÍNEA
Tratamiento de datos personales por parte de empresas que prestan servicios en línea
Las empresas sujetas al RGPD que prestan servicios en línea casi siempre procesan datos personales. Ejemplos de tales servicios son las redes sociales, los motores de búsqueda y las plataformas de comercio electrónico. En tales casos, es importante adaptar el servicio en línea al RGPD, como introducir ajustes para que los usuarios retiren sus consentimientos. Además, no es raro que las empresas que operan servicios en línea procesen los datos personales de los niños, y luego las reglas son aún más estrictas bajo el RGPD.