CUMPLIMIENTO DEL RGPD
Las empresas deben establecer procedimientos escritos
Las empresas deben establecer procedimientos escritos para que el cumplimiento del RGPD sea más sencillo y eficaz.
Las empresas deben poder demostrar que cumplen con RGPD
De acuerdo con el principio de rendición de cuentas, las empresas deben poder demostrar que cumplen con el RGPD en la práctica. En otras palabras, ni los interesados ni los reguladores deben demostrar que las empresas infringen el RGPD. En cambio, la carga de la prueba del cumplimiento recae en la empresa que es el controlador. Por lo tanto, las empresas necesitan, entre otras cosas, tener ciertos acuerdos y documentos relacionados con RGPD, como diferentes procedimientos.
Los procedimientos crean estructura y reducen el riesgo de errores
Las empresas deben establecer procedimientos escritos para crear una estructura clara para los empleados. Además, el riesgo de errores se reduce si los procedimientos son claros y fáciles de seguir para los empleados. La creación de un procedimiento escrito tiene muchos beneficios.
¿Qué procedimientos son buenos para que las empresas se establezcan?
Los procedimientos exactos que cada empresa necesita no pueden ser respondidos de manera estandarizada, ya que las necesidades son diferentes dependiendo de la situación. Un buen punto de partida es que cuanto más grande es la empresa, incluyendo el número de departamentos y empleados en la empresa, mejor es con más procedimientos para crear una estructura clara y reducir el riesgo de errores.
Procedimientos de supresión de datos personales
Las empresas deben borrar los datos personales cuando ya no sea necesario procesarlos para el propósito para el que fueron recopilados. Lo mismo se aplica si el interesado solicita que se borren sus datos personales. Sin embargo, en algunos casos, las empresas pueden anonimizar los datos personales en lugar de eliminarlos. Además, hay casos en los que los datos personales no deben borrarse. Por ejemplo, si la empresa tiene la obligación legal de continuar el procesamiento, es decir, establece en una ley que los datos personales deben ser procesados.
Procedimientos para respetar los derechos de los interesados
Los interesados tienen una serie de derechos en virtud del RGPD. Las empresas deben poder cumplirlos y, por lo tanto, es bueno establecer procedimientos sobre cómo deben proceder los empleados. Hay ocho (8) derechos fundamentales regulados en los artículos 15-22 del RGPD, pero también hay más que eso. Entre otras cosas, la empresa debe manejar la solicitud dentro de un límite de tiempo especificado y notificar a los interesados sobre el manejo.
Procedimientos de onboarding y offboarding
Es bueno tener procedimientos para cuando los nuevos empleados comienzan en una empresa y cuando alguien se va. En otras palabras, procedimientos para la incorporación y la desintegración. Si una empresa carece de tales procedimientos, existe una mayor probabilidad de que se produzca una violación de datos personales. Es durante los períodos de transición (como cuando un nuevo empleado asume su cargo o cuando un empleado renuncia) que la vulnerabilidad es mayor.
Procedimientos para compartir datos internamente
El intercambio de datos personales entre empleados dentro de una empresa es común. Además, es fácil cometer errores si no hay procedimientos claros que sean fáciles de seguir. Es útil definir qué datos personales pueden compartirse internamente y a través de qué canales de comunicación. Cuanto más importantes sean los datos personales, más seguros serán los canales de comunicación.
Procedimientos para obtener y retirar el consentimiento
Las empresas deben poder demostrar que están obteniendo un consentimiento válido. Esto significa, entre otras cosas, que el consentimiento debe darse libremente y activamente. Además, los interesados tienen derecho a retirar su consentimiento en cualquier momento. Retirar el consentimiento debe ser tan fácil como darlo. Después de la retirada, los datos personales se eliminarán y se notificará al interesado. Por lo tanto, es bueno tener procedimientos en torno a estos procesos, para que los empleados los gestionen correctamente.
Tenga en cuenta que no existe una prohibición de los consentimientos orales, pero son difíciles de probar, lo que la empresa debe poder hacer para que sean válidos.
Procedimientos para la gestión de redes sociales y la fotografía
Puede ser fácil olvidar que hay un procesamiento de datos personales en las redes sociales para el cual la empresa puede ser el controlador de datos. En otras palabras, no es solo el proveedor de la plataforma el que tiene una responsabilidad, sino también la empresa que tiene una cuenta de usuario allí y procesa datos personales a través de la plataforma. Por ejemplo, si la empresa tiene una forma de servicio al cliente en las redes sociales o publica fotos de empleados en las redes sociales. Entre otras cosas, las empresas deben eliminar datos personales de su bandeja de entrada de las redes sociales con regularidad, ya que los datos personales se procesan allí.
APRENDE MÁS
Evaluaciones que las empresas pueden necesitar hacer
Hay varias evaluaciones que las empresas pueden necesitar hacer bajo las reglas del RGPD, ya sea antes de que comience cierto procesamiento de datos personales o en algunos casos durante un procesamiento continuo. Por ejemplo, Legitimate Interest Assessment (LIA) para evaluar si la empresa tiene un interés legítimo en una operación de procesamiento en particular. Otros dos son la Evaluación de Impacto de Protección de Datos (DPIA) y la Evaluación de Impacto de Transferencia de Datos (DTIA). Tenga en cuenta que las empresas deben solicitar una consulta previa con la autoridad nacional de protección de datos en algunos casos, pero antes de eso, la empresa debe haber llevado a cabo una evaluación de impacto.