RGPD - VIDA DE NEGOCIOS
Procesamiento de datos personales en los negocios
Las empresas generalmente procesan datos personales en sus operaciones comerciales. Los datos personales pueden pertenecer a partes externas, como proveedores, clientes y socios, así como a partes internas, como empleados de la empresa.
Común con el procesamiento de datos personales en los negocios
Las empresas que procesan datos personales dentro de la UE deben cumplir con el RGPD. En otras palabras, esto se aplica no solo a las empresas con sede en la UE, sino también a las empresas con sede fuera de la UE que procesan los datos personales de personas dentro de la UE. A menudo es necesario procesar datos personales para administrar el negocio.
Ejemplos de procesamiento en empresas
- Domicilio de los clientes que piden productos de un sitio de comercio electrónico, con el fin de llevar a cabo la entrega a domicilio de los productos comprados.
- Nombre del empleado, número de seguridad social y número de cuenta bancaria para poder pagar el salario.
- Vigilancia con cámara en recepción, como medida de seguridad adicional.
Funciones en el RGPD
Hay diferentes roles en RGPD que puede ser bueno saber. Por ejemplo, quién es el responsable y el encargado del tratamiento, qué agentes deben designar un delegado de protección de datos, quiénes pueden ser los interesados y qué hacen las autoridades nacionales de protección de datos. A continuación se muestra un breve resumen de esto, entre otras cosas.
Controlador
Es el responsable del tratamiento quien determina la finalidad del tratamiento, cuánto tiempo durará y cómo se llevará a cabo. Una empresa, autoridad u otra forma de organización puede ser el controlador de datos. Los individuos también pueden ser controladores de datos en ciertos casos.
Responsable del tratamiento de acuerdo con el RGPD
El responsable del tratamiento es responsable de garantizar que el tratamiento se lleve a cabo correctamente de conformidad con las normas del RGPD. Sin embargo, los procesadores también tienen la responsabilidad de su procesamiento de datos personales, que se lleva a cabo en nombre del controlador.
El controlador suele ser la propia organización, y no una persona específica como el propietario o los empleados. En algunos casos, sin embargo, un individuo puede ser el controlador de datos. Por ejemplo, si el tratamiento lo lleva a cabo un comerciante individual o un particular.
Algunas preguntas frecuentes sobre los controladores de datos
¿Es posible transferir la realización del procesamiento de datos personales a otra persona?
Sí, las empresas pueden transferir la realización del procesamiento de datos personales a otra persona de acuerdo con el RGPD. Sin embargo, no es posible transferir la responsabilidad de los datos personales y el procesamiento. Es solo el rendimiento en sí mismo lo que se puede delegar a otra persona. Por ejemplo, a un procesador de datos contratado.
¿Pueden varias empresas ser corresponsables del tratamiento?
Sí, dos o más empresas pueden tener una corresponsabilidad del tratamiento. Tenga en cuenta que es importante regular la relación en un acuerdo por escrito. Por ejemplo, quién debe cumplir con qué obligaciones para no violar RGPD.
¿Cómo deben los empleados procesar los datos personales?
Los empleados no procesarán datos personales en contra de las instrucciones dadas por el controlador. Por lo tanto, es importante crear procedimientos escritos y claros que el personal debe seguir al procesar datos personales en la práctica.
Procesador
Cuando un agente trata datos personales en nombre de otro agente, el tratamiento se lleva a cabo en calidad de encargado del tratamiento de datos personales. En otras palabras, el procesador procesa datos personales en nombre y de acuerdo con las instrucciones del controlador.
Tratamiento de datos personales en los negocios: Ejemplos de situaciones en las que las empresas tienden a ser procesadores de datos
Almacenamiento en la nube
Almacenamiento en la nube: Muchas empresas utilizan el almacenamiento en la nube para guardar varios archivos digitales en línea, como contratos, imágenes, vídeos y / o copias de seguridad. Estos archivos pueden contener datos personales. En tales casos, el proveedor de servicios en la nube procesa los datos personales en nombre de sus clientes. Por lo tanto, el proveedor de servicios en la nube actúa como procesador de datos cuando procesa los datos personales almacenados en su servicio en la nube en relación con la prestación del servicio a los clientes.
Empresas de contabilidad
Empresas de contabilidad: Cuando una empresa contrata a una empresa de contabilidad para gestionar la contabilidad, facturación, nómina, etc., la empresa de contabilidad tendrá acceso a datos personales en el desempeño de sus funciones. Por ejemplo, los nombres y cualquier información sobre la baja por enfermedad aparecen en las nóminas de los empleados, que la empresa de contabilidad puede ser encargada de crear y enviar a los empleados. Así, la empresa contable trata los datos personales por cuenta de la empresa que los contrató, con el fin de poder cumplir con el encargo.
Sistema de CRM
Las empresas que tienen muchos empleados y clientes suelen tener un sistema CRM. Por lo tanto, la empresa que opera el sistema CRM procesa datos personales en nombre de la empresa que utiliza el servicio y, por lo tanto, es un procesador de datos personales en su procesamiento de dichos datos personales.
Algunas preguntas frecuentes sobre los procesadores de datos
¿Quién puede ser un procesador de datos?
Tanto las personas físicas como las jurídicas pueden ser transformadores. En otras palabras, empresas, organizaciones, autoridades y particulares.
¿Pueden los encargados del tratamiento de datos ser considerados responsables de las infracciones del RGPD?
Sí, los procesadores pueden recibir multas si violan RGPD. Además, pueden ser responsables ante los interesados de conformidad con el artículo 82 del RGPD.
¿Qué deben hacer los procesadores si quieren contratar un subprocesador?
El controlador primero debe dar su permiso por escrito para que un procesador, a su vez, contrate a un subprocesador. Si se obtiene el consentimiento, el procesador y el subencargado también celebrarán un acuerdo de procesamiento de datos entre sí, de conformidad con el artículo 28 del RGPD.
¿Los acuerdos de procesamiento de datos tienen que ser por escrito de acuerdo con RGPD?
Sí, los acuerdos de procesamiento de datos deben ser por escrito de acuerdo con RGPD. Existen requisitos formales para un acuerdo de procesamiento de datos en virtud del artículo 28 del RGPD, que establece claramente que debe ser por escrito. En otras palabras, los acuerdos verbales de procesamiento de datos no son válidos y, por lo tanto, infringen el RGPD.
Responsable de protección de datos
Algunas empresas están obligadas a tener un delegado de protección de datos en virtud del RGPD. Incluso las empresas que no necesitan nombrar un oficial de protección de datos bajo el RGPD, pueden hacerlo voluntariamente como una medida de seguridad que mejora la privacidad.
Qué deben hacer los responsables de la protección de datos
Los responsables de protección de datos trabajan para supervisar el cumplimiento del RGPD por parte de la empresa. Puede ser un empleado que desempeñe el papel de delegado de protección de datos, pero no tiene que ser un empleado. El delegado de protección de datos asesorará, entre otras cosas, sobre el tratamiento de datos personales por parte de la empresa, comprobará los documentos de control interno de la organización, como los procedimientos internos, y recopilará información sobre el tratamiento de datos personales por parte de la empresa. Por lo tanto, un delegado de protección de datos desempeña un papel importante en el trabajo de protección de datos de la empresa.
Derecho a ponerse en contacto con el delegado de protección de datos
Los interesados tienen derecho a ponerse en contacto con el delegado de protección de datos en caso de preguntas sobre el tratamiento de sus datos personales. Esto incluye no solo a los clientes y personas externas, sino también a los empleados de la empresa. Los datos de contacto del delegado de protección de datos estarán a disposición del público y suelen figurar en el aviso de privacidad publicado en el sitio web oficial de la empresa. Además, la empresa debe notificar al delegado de protección de datos a la autoridad nacional de protección de datos.
Aquí hay algunas preguntas comunes sobre los oficiales de protección de datos
¿Tiene el Delegado de Protección de Datos una responsabilidad personal sobre cómo la empresa procesa los datos personales?
No, el delegado de protección de datos no tiene ninguna responsabilidad personal sobre cómo la empresa procesa los datos personales. Además, está prohibido sancionar al delegado de protección de datos por el desempeño de sus funciones. Es la parte para la que trabaja el delegado de protección de datos la responsable de garantizar que su tratamiento de datos personales cumpla con las normas del RGPD.
¿Qué conocimientos debe tener el Delegado de Protección de Datos?
Conocimiento de RGPD y cualquier legislación nacional de protección de datos relevante adicional, Conocer el negocio, cómo se lleva a cabo el procesamiento de datos personales, qué medidas de seguridad técnicas y organizativas ha tomado la empresa, Ser capaz de difundir la información adecuada y crear una buena cultura de protección de datos dentro del negocio.
¿El delegado de protección de datos tiene que ser empleado por la empresa?
No, un delegado de protección de datos no necesita ser empleado por la empresa. El delegado de protección de datos puede ser un agente externo. Puede ser un empleado de la empresa. La persona que actúa como delegado de protección de datos también puede tener otras tareas en paralelo, a menos que entre en conflicto con el papel de delegado de protección de datos.
Tratamiento de datos personales en los negocios: Interesados
Es importante saber qué es un interesado y qué derechos tienen los interesados para cumplir con el RGPD en la práctica.
Derechos de los interesados
Los interesados tienen varios derechos en virtud del RGPD. Es común hablar de los ocho derechos fundamentales establecidos en los artículos 15 a 22 del RGPD.
Preguntas frecuentes sobre los interesados en virtud del RGPD
¿Pueden los interesados tener derecho a una indemnización por daños y perjuicios en virtud del RGPD?
Sí, los interesados pueden tener derecho a una indemnización por daños y perjuicios en virtud del artículo 82 del RGPD. Tenga en cuenta que los daños no son lo mismo que las multas. Es necesario que haya daños inmateriales o materiales para que un interesado tenga derecho a una indemnización por daños y perjuicios, pero hay excepciones. En algunos casos, un interesado puede tener derecho a una indemnización por daños y perjuicios en caso de temor a futuros daños inmateriales.
Autoridades nacionales de protección de datos
Cada país de la UE tiene una autoridad nacional de protección de datos. Desempeñan un papel importante en el RGPD.
Preguntas sobre las autoridades nacionales de protección de datos
¿A qué autoridad de protección de datos pueden presentar una reclamación los interesados?
Los interesados podrán presentar una reclamación ante la autoridad nacional de protección de datos de su país de residencia. Si la autoridad de protección de datos considera que la autoridad de protección de datos de otro país es más adecuada para manejar casos, por ejemplo, porque la empresa que violó el RGPD tiene su sede allí, pueden transferir el caso allí. En otras palabras, el interesado no tiene que preocuparse por tener que informar a la autoridad de protección de datos adecuada.
¿Pueden las autoridades nacionales de protección de datos imponer multas?
Sí, las autoridades nacionales de protección de datos tienen el poder de imponer multas si consideran que las empresas han infringido el RGPD. Sin embargo, es posible apelar la decisión ante el tribunal.
¿Pueden las autoridades de protección de datos reclamar daños y perjuicios a los interesados afectados?
No, las autoridades de protección de datos no pueden reclamar daños y perjuicios a los interesados afectados. Por otro lado, imponen multas a las empresas, una multa que no está disponible para los interesados. El interesado afectado debe reclamar daños y perjuicios por sí mismo, ya sea directamente de la empresa o mediante la interposición de una acción civil contra la empresa.
Procesamiento de datos personales como empleador
Es muy común tratar datos personales como empleador. Además, es común procesar datos personales sensibles en la vida laboral, lo que significa reglas más estrictas. Por lo tanto, es bueno conocer las reglas del RGPD para no violar las regulaciones, ya que las violaciones del RGPD pueden resultar en importantes consecuencias financieras para la empresa. Por ejemplo, los empleadores suelen procesar los nombres de los empleados, posiblemente las personas de contacto relacionadas, la información de las cuentas bancarias, las bajas por enfermedad, el uso de cámaras de vigilancia, los sistemas de contratación, etc.
Responsabilidad de los datos personales cuando los empleadores procesan datos personales
Es la propia empresa la que es el controlador de datos, y no el gerente o cualquier otra persona que trabaje en el negocio. Es la propia persona jurídica la que es el empleador y, por lo tanto, responsable del tratamiento de los datos personales. En algunos casos, sin embargo, es una persona física la que puede desempeñar el papel de responsable del tratamiento de datos, por ejemplo, si es un comerciante individual o una persona privada quien lleva a cabo el tratamiento.
¿Pueden los encargados del tratamiento ser responsables del tratamiento de datos personales?
Sí, por ejemplo, si una empresa que es responsable de los datos personales utiliza una empresa de contabilidad para manejar la nómina. En tales casos, la empresa de contabilidad es un procesador de datos personales, pero tiene su propia responsabilidad por el procesamiento que llevan a cabo. Sin embargo, la empresa de contabilidad no es el controlador de los datos personales procesados.
Sistemas de contratación y bases de datos de competencias
Muchas empresas tienen empleados para poder dirigir el negocio de manera efectiva. Además, es común basarse en bases de datos de competencias a la hora de contratar, lo que constituye un tratamiento de datos personales. En ese caso, la empresa necesita, entre otras cosas, tener una base legal para ese procesamiento. A menudo, el interés legítimo es la base legal adecuada para respaldar el procesamiento.
No trate más datos personales de los necesarios
Las empresas solo pueden procesar los datos personales necesarios para el propósito del procesamiento. Además, los datos personales se borrarán o anonimizarán cuando ya no sea necesario tratarlos.
Tenga en cuenta que está permitido que el empleador continúe procesando los datos personales durante el tiempo que sea posible para el solicitante de empleo o empleado en cuestión emprender acciones legales. Los datos personales sensibles, por otro lado, normalmente no están permitidos para que los empleadores los procesen al contratar. Lo mismo se aplica a los datos sobre infracciones de la ley.
Preguntas frecuentes sobre los sistemas de contratación y las bases de datos de competencias
¿Puede utilizarse el consentimiento como base jurídica al utilizar sistemas de contratación y bases de datos de capacidades?
Es inapropiado en la mayoría de los casos utilizar el consentimiento como base legal cuando un empleador procesa datos personales de empleados o solicitantes de empleo. Esto se debe a que la relación de poder es desigual entre las partes. Esto es algo sobre lo que el CEPD también ha comentado en sus directrices sobre el uso del consentimiento como base jurídica.
¿Pueden las empresas utilizar decisiones automatizadas al contratar personal?
La regla principal del RGPD significa que los empleados, que también incluye a los futuros empleados, tienen derecho a no estar sujetos a decisiones basadas únicamente en la toma de decisiones automatizada.
¿Debe informarse a los empleados sobre el tratamiento de sus datos personales en los sistemas de contratación y las bases de datos de capacidades?
Sí, la regla general significa que los empleados deben ser informados sobre el procesamiento de sus datos personales. En otras palabras, el tratamiento de datos personales no debe tener lugar sin su conocimiento.
Seguimiento de los empleados
En algunos casos, las empresas pueden necesitar supervisar el lugar de trabajo o a los empleados, por ejemplo, mediante cámaras de vigilancia en los locales de la empresa.
Vigilancia con cámara en el lugar de trabajo
Puede ser apropiado tener cámaras de vigilancia en el lugar de trabajo. Sin embargo, esto constituye una violación importante de la privacidad y los empleados normalmente tienen un gran interés en no estar sujetos a dicho monitoreo. Por lo tanto, debe haber razones sólidas para tener vigilancia con cámara en el lugar de trabajo. Por ejemplo, una razón válida para tener vigilancia con cámara en el almacén puede ser que hay activos de alto valor almacenados allí. Sin embargo, no está bien tener una cámara frente al inodoro, para poder monitorear con qué frecuencia los empleados visitan el inodoro.
Preguntas frecuentes
¿Qué base jurídica es común para apoyar el procesamiento cuando se supervisa a los empleados?
El interés legítimo suele ser la base jurídica adecuada. El consentimiento generalmente no es válido porque existe una relación de poder desigual entre el empleador y el empleado.
¿Las empresas tienen que llevar a cabo una evaluación de impacto al supervisar a los empleados?
No, no hay un requisito directo en el RGPD, pero puede ser apropiado tener que hacerlo. Por ejemplo, puede ser una necesidad si la compañía monitorea a los empleados sistemáticamente con respecto a cómo usan su correo electrónico.
¿Debe informarse a los empleados del tratamiento relativo a la vigilancia?
Sí, los empleados tienen derecho a recibir información sobre el procesamiento de sus datos personales y el monitoreo en el lugar de trabajo. Por otro lado, no suele tener que presentarse en cada inspección, pero suele ser suficiente para que se lleve a cabo una vez. La información debe proporcionarse por escrito en un aviso de privacidad específico para los empleados.
Datos biométricos
Una operación de tratamiento técnico que permite identificar a una persona por sus características físicas, fisiológicas o conductuales constituye un tratamiento de datos biométricos. Por ejemplo, la toma de huellas dactilares o el reconocimiento facial para acceder a los servicios y sistemas informáticos de su empresa.
Los datos biométricos constituyen datos personales sensibles de conformidad con el RGPD
Según el artículo 9 del RGPD, los datos biométricos constituyen datos personales sensibles. El procesamiento de datos personales sensibles está prohibido como regla general, pero hay algunas excepciones específicas. Es importante tener en cuenta que el tratamiento de datos personales sensibles impone requisitos más estrictos que el tratamiento de datos personales «ordinarios».
Preguntas frecuentes
¿Pueden los empleadores procesar datos biométricos?
Sí, pero el empleador debe tener una base jurídica y motivos sustanciales para el tratamiento de datos biométricos. El consentimiento normalmente no es apropiado como base jurídica, ya que la relación de poder entre el empleador y el empleado es desigual.
¿Pueden las escuelas o los empleadores utilizar datos biométricos, como el reconocimiento facial, para los controles de asistencia?
Por regla general, la respuesta es negativa. En Suecia, una escuela utilizaba el reconocimiento facial para los controles de asistencia de los alumnos y la escuela tenía que pagar una multa por ello.
¿Las empresas tienen que llevar a cabo una evaluación de impacto antes de utilizar datos biométricos?
El RGPD no regula explícitamente que las empresas deban llevar a cabo una evaluación de impacto antes de procesar datos biométricos. Sin embargo, puede ser necesario.
MÁS SOBRE RGPD
Obtenga más información sobre los conceptos básicos
RGPD es un marco regulatorio integral que las empresas deben cumplir si procesan datos personales pertenecientes a individuos dentro del área de la UE / EEE. Para comprender lo que una empresa debe hacer en la práctica para cumplir con el RGPD, es importante comprender los conceptos básicos de esta regulación de la UE. Por ejemplo, las empresas deben tener una base legal para cada procesamiento individual y cumplir con los principios básicos de protección de datos. También deben comprender qué consecuencias pueden tener las empresas en caso de incumplimiento del RGPD y saber qué derechos tienen los empleados.