RGPD EN EL NEGOCIO
Procesamiento de datos personales en línea
Las empresas a menudo llevan a cabo el procesamiento de datos personales en línea. Muchas personas en todo el mundo están en línea en varias plataformas digitales en su vida cotidiana, desde niños pequeños hasta personas mayores.
RGPD en línea
Internet se ha convertido en una parte enorme e importante de nuestra vida cotidiana. Utilizamos Internet y las plataformas digitales para varias cosas. Como pagar facturas, ordenar cosas, comunicarse con amigos y mucho más. Cuando un individuo hace esto, sus datos personales son procesados por diferentes actores, de diferentes maneras y para diferentes propósitos.
RGPD es un reglamento de la UE que regula cómo se pueden procesar los datos personales, por ejemplo, si pertenecen a una persona que reside en la UE. Un punto de partida para las empresas sujetas al RGPD es tener en cuenta que cuanto más importantes sean los datos personales, mayores serán los requisitos.
Servicios en línea
En principio, las empresas que prestan servicios en línea siempre llevan a cabo el tratamiento de datos personales en línea. Ejemplos de servicios en línea son las redes sociales, las plataformas de comercio electrónico y los motores de búsqueda. Es importante tener en cuenta que muchos niños usan Internet y servicios en línea de varios tipos, como juegos o redes sociales. Cuando los menores utilizan servicios en línea, las normas son más estrictas en lo que respecta al tratamiento de los datos personales de los menores.
Otros dos actos de la UE
- Ley de IA de la UE
- Ley de Datos de la UE
Los niños tienen protecciones más fuertes bajo, entre otras cosas, RGPD
Como los niños son un grupo de sujetos de datos que son más dignos de protección, están más protegidos que los adultos bajo el RGPD. Esto se debe, entre otras cosas, al hecho de que los niños pueden tener más dificultades para comprender las garantías, las consecuencias, los riesgos y los derechos que tienen en relación con el tratamiento de sus datos personales. El considerando 38 del RGPD aborda este punto con más detalle.
El límite de edad para un consentimiento válido de un niño
De acuerdo con el RGPD, un niño que ha alcanzado la edad de 16 años puede dar su consentimiento válido para el procesamiento de sus datos personales. Sin embargo, los Estados miembros tienen derecho a reducir el límite de edad en virtud del artículo 8 del RGPD. En Suecia, el límite de edad se reduce a 13 años, que es el límite de edad mínimo. Por otra parte, del considerando 38 del RGPD se desprende que no debe exigirse el consentimiento del tutor legal de un menor si se trata de servicios de asesoramiento o de prevención ofrecidos directamente a los menores. Por ejemplo, asesoramiento sobre adicciones, crisis u otras formas de líneas de ayuda en línea para niños y jóvenes.
Considere siempre la Convención de las Naciones Unidas sobre los Derechos del Niño
Todos los países de la UE han adoptado la Convención de las Naciones Unidas sobre los Derechos del Niño. Además, varios países, como Suecia, lo han adoptado como legislación nacional. Es bueno que las empresas siempre tengan en cuenta la Convención sobre los Derechos del Niño al crear un servicio en línea dirigido a los niños.
Protección de datos por defecto y protección de datos desde el diseño
Es importante contar con protección de datos desde el diseño, ya que este es un requisito para los responsables del tratamiento de datos en virtud del artículo 25 del RGPD. No importa si es una startup o una compañía multimillonaria. En resumen, esto significa que todas las empresas deben trabajar activamente para cumplir con los requisitos del RGPD. Esto significa, entre otras cosas, que las empresas deben:
Implementar y ofrecer configuraciones amigables con la protección de datos, como dar al usuario la oportunidad de retirar su consentimiento. Debe ser tan fácil retirar el consentimiento como darlo, de conformidad con el artículo 7, apartado 3, del RGPD.
Disponer de una base jurídica para cada tratamiento individual de conformidad con el artículo 6 del RGPD.
Cumplir con los siete principios básicos de protección de datos de conformidad con el artículo 5 del RGPD.
Adoptar las medidas de seguridad organizativas y técnicas adecuadas de conformidad con el artículo 32 del RGPD.
Cookies
Muchos sitios web y aplicaciones utilizan cookies, que pueden conducir al procesamiento de datos personales en línea. Las cookies son pequeños archivos de texto que se almacenan en el dispositivo utilizado al visitar el sitio web o la aplicación (como un ordenador, un teléfono móvil o una tableta). Existen básicamente dos tipos de cookies: cookies esenciales y cookies no esenciales. Las reglas son diferentes para ellos. En la UE, tanto el RGPD como la Directiva sobre la privacidad y las comunicaciones electrónicas constituyen la base de la legislación central sobre cookies.
Requisitos para el procesamiento de cookies esenciales
Las cookies esenciales, también conocidas como «cookies necesarias», se utilizan siempre, sin necesidad del consentimiento previo del usuario. Sin embargo, es importante tener en cuenta que estas cookies deben ser estrictamente necesarias para permitir la prestación de un servicio o función que el usuario haya solicitado. Por ejemplo, una cookie que permite a una plataforma de comercio electrónico recordar lo que el usuario ha agregado a su carrito de compras, para permitir la finalización de la compra.
Si una empresa solo utiliza cookies esenciales, la empresa debe publicar y presentar un aviso de cookies al usuario. Sin embargo, la empresa no necesita instalar un complemento de cookies para solicitar el consentimiento para estas cookies.
Requisitos para el tratamiento de cookies no esenciales
Si la empresa desea utilizar cookies no esenciales, se aplica lo siguiente:
Consentimiento
La empresa debe obtener el consentimiento explícito, activo y voluntario del usuario con respecto al uso de cookies no esenciales. Esto significa, por ejemplo, que una casilla de consentimiento no debe marcarse previamente. Además, debe ser tan fácil para el usuario retirar el consentimiento como otorgarlo.
Requisitos de información
El usuario debe ser informado sobre el procesamiento y qué cookies específicas no esenciales desea utilizar la empresa. Esto se hace sin problemas por la empresa que publica la información en un aviso de cookies. Ejemplos de lo que debe indicarse son qué cookies se utilizan, cuál es su función y propósito, cuánto tiempo se guardan, cómo la persona puede revocar el consentimiento, etc.
Comunicación
Las empresas se comunican mucho digitalmente y también almacenan datos personales digitalmente a través de varias plataformas para diferentes propósitos. Por ejemplo, los datos personales son tratados en línea por los empleados de la empresa que envían correos electrónicos, guardan los números de teléfono de los clientes en el sistema CRM, reciben currículos de posibles empleados y mucho más. Por lo tanto, es bueno que los propietarios de negocios y los empleados conozcan las reglas de RGPD, para no violar las regulaciones y arriesgarse a que la compañía sea condenada a pagar grandes multas.
Correo electrónico
Aunque no hay disposiciones específicas en el RGPD con respecto al procesamiento de datos personales al usar el correo electrónico, hay muchas reglas generales que la empresa debe tener en cuenta. Muchos correos electrónicos generalmente contienen datos personales y, por lo tanto, se aplica el RGPD.
Por ejemplo, la dirección de correo electrónico en sí puede ser datos personales si contiene un nombre y / o apellido. Además, un correo electrónico en sí puede contener datos personales. Por ejemplo, los datos de contacto del remitente (dirección, número de teléfono, dirección de correo electrónico) y los datos personales de otras personas que figuran en un documento adjunto o similar.
¿Puede el empleador enviar recibos de pago a los empleados por correo electrónico?
Si la nómina contiene información sobre la baja por enfermedad u otros datos personales sensibles de conformidad con el artículo 9 del RGPD, el empleador no la enviará por correo electrónico no cifrado. Tenga en cuenta que se puede permitir hacerlo, si se realiza a través de correo electrónico cifrado. La razón por la que la empresa no debe enviarlo a través de correo electrónico no cifrado si contiene datos personales confidenciales, es porque no es lo suficientemente seguro. En otras palabras, los requisitos de seguridad son más altos cuando se procesan datos personales confidenciales, que las nóminas generalmente contienen.
Recursos Humanos (RRHH)
Las empresas procesan datos personales regularmente en su trabajo de recursos humanos. Esto ocurre, por ejemplo, desde el momento en que la empresa recibe un CV de un solicitante de empleo, y está en curso durante todo el período de empleo para el cumplimiento de las obligaciones laborales del empleador, así como durante un cierto período de tiempo después de la terminación del empleo.
Las evaluaciones subjetivas pueden ser más sensibles a la privacidad
Es posible que las empresas deseen tratar datos personales que estén vinculados al rendimiento del empleado y que puedan tener un carácter subjetivo. Por ejemplo, si un empleado es bueno en su trabajo, para poder ser una referencia futura o para ver quién es adecuado para ser promovido.
Sitios web
Las normas relativas al tratamiento de datos personales en línea a través de sitios web pueden ser complicadas, ya que se pueden hacer de diferentes maneras y para diferentes fines.
No olvide informar al interesado sobre el procesamiento
Muchos sitios web publican un formulario de contacto que los usuarios pueden utilizar para ponerse en contacto directamente con la empresa. A menudo es obligatorio que el usuario rellene su nombre y dirección de correo electrónico, posiblemente incluso su número de teléfono, para que la empresa pueda responder al mensaje. Estos tipos de datos constituyen datos personales en virtud del RGPD. Un error que cometen muchas empresas es que se olvidan de informar sobre el procesamiento antes de que el usuario envíe el mensaje a la empresa.
Principales compromisos
Libertad de expresión
Muchos países tienen una ley de libertad de expresión, y si se trata de una constitución como en Suecia, la constitución está en algunas partes por encima del RGPD. Por ejemplo, si una empresa ha recibido el llamado certificado de publicación voluntaria en Suecia, se le permite a la empresa procesar los datos personales de una manera que de otro modo sería contraria al RGPD.
Fines periodísticos
Las normas para el tratamiento de los datos personales de los periodistas son diferentes de las de las «empresas ordinarias».
Marketing, ventas, redes sociales o similares
Si una empresa en la UE ha publicado un sitio web para realizar ventas de sus bienes o servicios, llevar a cabo marketing o similar, o utiliza las redes sociales para comunicarse con clientes potenciales, el RGPD se aplica a la empresa.
Según el RGPD, las normas difieren en función de la finalidad del tratamiento, quién es el interesado, cómo se lleva a cabo el tratamiento en la práctica, a través de qué canales, etc. Por lo tanto, es importante tener en cuenta que existen normas y excepciones específicas que pueden aplicarse. En otras palabras, las reglas no son las mismas si una empresa procesa datos personales para llevar a cabo marketing o si lo hace con fines periodísticos.
INFORMACIÓN SOBRE RGPD
Diferentes roles en RGPD
Es importante conocer los diferentes roles dentro de RGPD, ya que las reglas difieren entre los roles. Por ejemplo, es importante saber quién es el responsable o el encargado del tratamiento de una operación de tratamiento, qué papel desempeña el delegado de protección de datos y qué autoridad de control es la autoridad de control principal de la empresa. Es el responsable del tratamiento quien determina la finalidad del tratamiento de los datos personales. La entidad que procesa los datos personales en nombre del controlador y de acuerdo con sus instrucciones es el procesador. Por ejemplo, una empresa de contabilidad que trata los datos personales de los empleados de la empresa cliente para realizar pagos salariales a los empleados en nombre de la empresa cliente.