PROCEDIMIENTOS ESCRITOS
Procedimientos para compartir datos internamente
Es común que los empleados compartan datos personales entre sí dentro del trabajo. Por lo tanto, es bueno establecer procedimientos para compartir datos internamente.
Errores comunes al compartir datos internamente entre empleados
Muchas actividades internas de intercambio de datos entre empleados dentro de una empresa se llevan a cabo rápidamente o bajo presión de tiempo. Por ejemplo, cuando un empleado envía un correo electrónico o mensaje de texto a otro empleado. No es raro que ocurran errores. Para evitar errores y violaciones de datos personales, es bueno tener procedimientos claros y fáciles de seguir.
Intercambio oral de datos internamente
Es importante no olvidar que los datos pueden ser compartidos oralmente y pueden ser escuchados por alguien no autorizado. Por lo tanto, es bueno regular en los procedimientos donde se pueden llevar a cabo tales conversaciones. Por ejemplo, no está permitido en espacios públicos durante la pausa del almuerzo en un restaurante. Si los datos se refieren a datos personales sensibles, es particularmente importante regular cómo se pueden compartir, y puede ser necesario que solo se discutan en salas de trabajo privadas en el lugar de trabajo.
Los procedimientos son una buena manera de demostrar el cumplimiento del principio de rendición de cuentas
El RGPD requiere que las empresas puedan demostrar que cumplen con el RGPD, lo que significa, entre otras cosas, que las empresas deben tener ciertos documentos y acuerdos. En otras palabras, la carga de la prueba recae en la empresa para poder demostrar que cumplen con el RGPD en la práctica, no en los sujetos de datos o reguladores que necesitan demostrar que la empresa está incumpliendo la regulación. Por lo tanto, los procedimientos escritos pueden ser buenos para tener que crear una estructura clara, minimizar los errores y poder demostrar el cumplimiento del RGPD.
No todos en la empresa generalmente necesitan acceso a todos los datos personales
Es importante tener en cuenta que solo porque una empresa procesa datos personales, no todos en la empresa necesitan tener acceso a ellos. Cuanto más importantes sean los datos personales, más importante será limitar los derechos de acceso. El punto de partida será que solo tendrán acceso los empleados que necesiten acceder a los datos personales para desempeñar sus funciones. Por ejemplo, un director financiero puede necesitar procesar datos personales sobre todos los empleados, incluso datos personales confidenciales, como información sobre bajas por enfermedad. Sin embargo, no es necesario que otros empleados tengan acceso a esa información.
Ejemplos de violaciones de datos personales al compartir datos internamente
Un correo electrónico que contiene datos personales se envía al colega equivocado, que no está autorizado a procesarlo.
Algunos empleados pueden acceder a los datos personales «en caso de que los necesiten por algún motivo».
Un empleado que trabaja con datos personales confidenciales en un entorno de oficina abierta no tiene un bloqueo de pantalla automático instalado en la computadora del trabajo y sale de su lugar de trabajo para rellenar una taza de café. Mientras tanto, los datos personales sensibles en la pantalla de la computadora permanecen visibles para otros empleados no autorizados.
Ejemplos de lo que deben incluir los procedimientos internos de intercambio de datos
Categorías de datos personales
Los procedimientos deben incluir los tipos de datos personales tratados por la empresa y los que requieren protección adicional, como categorías especiales de datos personales u otros tipos de datos personales sensibles a la privacidad.
El requisito de reparto
Incluir el análisis de la necesidad de compartir los datos personales en el procedimiento. La norma principal debe ser que, si un miembro del personal no necesita los datos personales para desempeñar sus funciones, no debe tener acceso a ellos.
Canales de comunicación
Hay varios canales de comunicación diferentes que los empleados suelen utilizar a diario. Por ejemplo, SMS y correo electrónico. Los procedimientos para compartir datos internamente deben especificar qué canales deben usar los empleados. Si se trata de datos personales sensibles, es importante que el canal de comunicación cumpla los requisitos de seguridad del RGPD.
Gestión de la elegibilidad
Es bueno incluir quién conoce qué datos personales en los procedimientos, para que los empleados sepan con quién pueden compartir ciertos datos. Además, recuerde nunca compartir datos personales con fines preventivos.
Especificar qué procesos requieren documentación
Algunos tratamientos son buenos para documentar, especialmente si el tratamiento se refiere a datos personales sensibles. Es bueno especificar qué intercambio de datos debe llevarse a cabo y por qué.
Regular la divulgación oral de datos personales
Muchas personas olvidan que los datos personales pueden ser divulgados oralmente por los empleados de una empresa. Es importante que ocurra en lugares donde personas no autorizadas no escuchan lo que se está revelando. Además, es bueno regular que a los empleados no se les permita hablar de ciertas cosas fuera del lugar de trabajo, como en un restaurante durante el almuerzo.
Trabajo a distancia
Cuando los empleados de una empresa trabajan a distancia, a menudo hay más transferencias de datos personales y el riesgo de exposición no autorizada es mayor. Especialmente si el trabajo se realiza en lugares públicos. Los procedimientos deben incluir cómo los empleados deben trabajar a distancia.
Gestión de incidentes
El procedimiento también debe incluir lo que los empleados deben hacer si detectan una violación de datos personales. Por ejemplo, a quién contactar y cómo documentar el incidente.
APRENDE MÁS
Procedimientos para obtener y retirar el consentimiento
Si las empresas utilizan el consentimiento como base legal para un tratamiento en particular, es importante poder demostrar que el consentimiento es válido y se ha obtenido correctamente. Esto significa, entre otras cosas, que el consentimiento debe darse activa y libremente. Además, será tan fácil para el interesado retirar su consentimiento como darlo. Por lo tanto, es bueno establecer procedimientos para garantizar esto.