GDPR Learning Hub

Menú
  • Take quizzes
  • Download guides
  • Buy courses
  • Buy Templates
  • GDPR-Courses are under construction

DATOS PERSONALES EN EL NEGOCIO

Estructura de protección de datos en una empresa

Es importante crear una buena estructura de protección de datos en una empresa para poder cumplir con todas las reglas de RGPD. Además, el trabajo se vuelve más eficiente para todos los empleados de la empresa, cuanto mejor sea la estructura en torno a la protección de datos dentro del negocio. Por lo tanto, es importante garantizar una buena estructura de protección de datos en una empresa.

El punto de partida para crear una buena estructura de protección de datos de acuerdo con el RGPD

Hay varias maneras de crear una buena estructura de protección de datos en una empresa. Sin embargo, el punto de partida siempre debe ser adaptar la estructura de protección de datos a todo el negocio. En otras palabras, no siempre es necesario cambiar toda la estructura corporativa para adaptarla al RGPD. 

Por ejemplo, el jefe de servicio al cliente también puede ser un embajador de protección de datos apropiado, al recibir capacitación adicional en RGPD sobre temas relevantes para el departamento de servicio al cliente. En otras palabras, la empresa debe basarse en las funciones y estructuras de soporte que ya existen y hacer las adiciones o ajustes necesarios.

What breaches of the GDPR can lead to an administrative fine?

Toma de decisiones descentralizada sobre cuestiones relacionadas con el RGPD

Al descentralizar la toma de decisiones sobre cuestiones de RGPD, la empresa puede trabajar de manera más eficiente. Por ejemplo, facultando a los embajadores de protección de datos para que tomen ciertas decisiones menores, en lugar de tener que recurrir a la dirección o al consejo, ya que puede llevar mucho tiempo y, a veces, ser ineficiente. 

Elaboración de documentos de gobernanza para la toma de decisiones descentralizada

Para tener un buen sistema de toma de decisiones descentralizado, la empresa debe establecer documentos de gobernanza claros, proporcionar la formación adecuada y crear una buena cultura de protección de datos. Otros empleados también pueden tener el poder de tomar ciertas decisiones por sí mismos, con el fin de hacer su trabajo más eficiente. Por ejemplo, un trabajador de servicio al cliente puede tener derecho a borrar datos personales a petición de un interesado. 

Establecer los acuerdos y documentos necesarios relacionados con el RGPD

Con el fin de racionalizar el trabajo con RGPD tanto como sea posible y cumplir con el reglamento, es bueno elaborar plantillas de contrato escritas, rutinas, plantillas de respuesta, listas de verificación, resúmenes y otros documentos de respaldo relevantes para los empleados. De esta manera, los empleados conocen, por ejemplo, cómo actuar en caso de violación de datos personales, qué responder si un interesado solicita que se cumplan sus derechos o algo similar. 

Proporcionar una formación adecuada a los empleados

Son todos los empleados de la empresa, independientemente de su función y deberes, quienes en la práctica entran en contacto con datos personales en relación con el desempeño de sus funciones. Por lo tanto, todos los empleados deben cumplir con las reglas del RGPD, no solo la administración de la empresa. Por esta razón, es bueno proporcionar capacitación al personal sobre RGPD y el correcto procesamiento de datos personales. Sin embargo, no es necesario que todos los empleados conozcan todas las reglas del RGPD. En cambio, es más importante proporcionar a los empleados una capacitación adecuada sobre RGPD en asuntos relacionados con sus tareas y áreas de trabajo específicas.

Es bueno obtener comentarios de los empleados

Dado que los empleados de todos los niveles de la empresa suelen tratar datos personales en su trabajo, es bueno recibir comentarios de ellos como parte del trabajo de mejora de la empresa. Los empleados a menudo tienen una buena idea de los aspectos prácticos que afectan a sus tareas y, por lo tanto, pueden tener un muy buen conocimiento de las oportunidades de mejora. 

Comprobar los permisos de acceso

Rara vez es necesario que todos los empleados tengan acceso a todos los datos personales que procesa la empresa. De acuerdo con el principio de minimización de datos, los datos personales deben exponerse lo menos posible, incluso dentro de una empresa. Solo aquellos empleados que necesitan los datos personales para desempeñar sus funciones deben tener acceso a ellos. Por lo tanto, es bueno tener soluciones de TI adecuadas para asignar y controlar los permisos de acceso. 

What is the definition of anonymised data?

Ejemplo

Un consultor contable necesita acceder a todos los datos personales del sistema financiero para llevar a cabo el trabajo contable. Sin embargo, el gerente de compras de la empresa no necesita acceder a todos esos datos personales y, por lo tanto, no debe tener los mismos derechos de acceso que el consultor contable.

Es importante tener una buena cultura de protección de datos en la empresa

Crear una buena cultura de protección de datos significa que la empresa crea normas y valores entre sus empleados, que son consistentes con RGPD y los principios de protección de datos. Es algo que se desarrolla con el tiempo y es más importante cuanto más grande es la empresa. 

Ejemplo: 

  • Cree un hábito entre los empleados para verificar siempre el destinatario especificado antes de enviar un correo electrónico. 
  • Cree una cultura en la que ningún empleado se avergüence de pedir ayuda a sus colegas sobre RGPD u otros temas.

Creación de una estructura de protección de datos: cuanto más grande es la empresa, más importante es

Cuanto más grande es la empresa, más importante es crear una buena estructura de protección de datos para no violar RGPD. Además, los requisitos suelen ser más altos para las empresas más grandes. Por ejemplo, una gran empresa puede necesitar implementar un individuo para cada rol enumerado en la descripción a continuación, mientras que una empresa más pequeña puede proporcionar a un individuo tareas dentro de múltiples roles.

Ejemplo de una estructura de protección de datos dentro de una empresa más grande

Alta Dirección y Consejo de Administración

  • La alta dirección y el consejo de administración de la empresa tienen la responsabilidad última de la gestión del negocio y de garantizar que la empresa cumpla con el RGPD. 
  • Para que los empleados puedan seguir las reglas de RGPD en su trabajo, la alta dirección y el consejo deben crear una buena cultura de protección de datos. 
  • La alta dirección y el consejo de administración se asegurarán de que los empleados reciban la formación y las instrucciones adecuadas sobre cómo llevar a cabo su trabajo de conformidad con el RGPD. 

Comité de Protección de Datos

  • Es positivo establecer un comité de protección de datos dentro de la empresa, con al menos una persona de cada grupo. En otras palabras, una persona de la alta dirección, una persona del personal de apoyo, el delegado de protección de datos y los embajadores de protección de datos. 
  • El comité de protección de datos controla y toma decisiones estratégicas diarias basadas en las necesidades de la empresa. Además, hacen un seguimiento de las medidas.

Soporte de protección de datos

  • Por lo general, se trata, por ejemplo, de una persona del departamento jurídico de una empresa que trabaja en el papel de apoyo a la protección de datos. El soporte de protección de datos tiene la tarea de guiar y proporcionar soporte, responder preguntas y similares, a los diversos departamentos dentro de la empresa.
  • También suele ser el punto de contacto de la autoridad de control, si la empresa no tiene un delegado de protección de datos.

Embajadores de Protección de Datos

  • Los embajadores de protección de datos son coordinadores que son puntos de contacto dentro de la empresa.
  • Si una gran empresa tiene varios departamentos, puede ser útil nombrar un embajador de protección de datospor desvío. Por ejemplo, uno para el servicio al cliente, uno para ventas, gestión de inventario, etc.
  • Los empleados deben poder acudir a los embajadores de protección de datos para cualquier pregunta sobre RGPD. Lo mismo se aplica si la dirección o el consejo de administración quieren cambiar algo en el trabajo de protección de datos, por lo que son los embajadores de protección de datos los que hacen cumplir las medidas.

Responsable de protección de datos

El delegado de protección de datos, entre otras cosas:

  • Compruebe que la empresa cumple con RGPD. 
  • Estar disponible tanto para empleados como para interesados externos, como clientes, para preguntas relacionadas con el procesamiento de sus datos personales. 
  • Llevar a cabo actividades adecuadas de formación y sensibilización dentro de la empresa. 
  • Registrado ante la autoridad nacional de protección de datos. 
  • Proporcionar información a la empresa al realizar evaluaciones de impacto.

Otros miembros del personal

Son los empleados dentro de la empresa quienes en la práctica trabajan con el manejo de datos personales. Por lo tanto, es importante crear buenas condiciones para ellos, para que puedan hacerlo de acuerdo con el RGPD. Si violan el RGPD, es la empresa la responsable de cualquier consecuencia, y no el empleado personalmente. 

MÁS INFORMACIÓN SOBRE RGPD

Diferentes roles

Es bueno comprender las diferentes funciones que existen dentro del RGPD, como los interesados, los responsables del tratamiento, los encargados del tratamiento y los responsables de la protección de datos, para poder ejercer los derechos y cumplir las obligaciones en virtud del RGPD. Además, es útil conocer las competencias de la autoridad nacional de protección de datos. Si un controlador contrata a un procesador, es importante regular la relación y conocer la diferencia entre los roles, para saber quién debe hacer qué. Además, los acuerdos de procesamiento de datos personales deben ser por escrito para que sean válidos.

¿Quieres saber más?

Leer más
Scroll al inicio