Descripción general del RGPD
El Reglamento General de Privacidad de Datos, también conocido como RGPD, es una ley de privacidad europea, y RGPD reemplaza la directiva de privacidad en la UE.
El propósito del RGPD es proteger la información personal y dar a las personas más control sobre sus datos personales. Según el RGPD, la información personal se define como toda información que sea directa o indirectamente identificable para un individuo. Esto incluye números personales, datos de ubicación, identificaciones electrónicas (como direcciones IP), datos de seudónimos y datos genéticos y biométricos, es decir, lo que se define como datos personales es más estricto que antes de la entrada en vigor del RGPD.
Importante
Ninguna parte de la información en este artículo debe considerarse asesoramiento legal, sino una herramienta para el trabajo de RGPD de los controladores de datos (usted como cliente). Póngase en contacto con su asesor legal para obtener asesoramiento legal sobre el RGPD.
Demandas clave para GDPR
A las corporaciones que se vean afectadas por el RGPD se les exigirá que realicen una recopilación de cambios en la forma en que obtienen y procesan la información personal para seguir cumpliendo con el RGPD.
La identificación del controlador de datos y el procesador de datos son componentes importantes en la preparación para el RGPD.
¿Qué es un controlador de datos?
Un controlador de datos es una corporación u organización que decide el propósito y cómo utilizar la información personal. Los controladores de datos también pueden ser procesadores de datos si, por ejemplo, usted mismo administra sus sistemas o los tiene localmente en una PC, una intranet, etc.
¿Qué es un procesador de datos?
Los procesadores de datos toman la información que el controlador de datos ha recopilado y procesan la información personal. RecMan es el procesador de datos para todo lo que usted, como cliente, agrega a RecMan. Todo lo que no está en RecMan, no es responsable y debe identificar quién es el procesador de datos para la información ubicada fuera del sistema RecMan.
También debe haber un acuerdo de procesador de datos vigente como parte de la relación de cliente entre el proveedor (procesador de datos) y el cliente (el controlador de datos).
La responsabilidad de cumplir con el RGPD recae en gran medida en el controlador de datos cuando maneja información personal, incluso si ha subcontratado las actividades de procesamiento a otra corporación. Sin embargo, el procesador de datos también está obligado a cumplir con RGPD con respecto a la ley, algo que RecMan es.
Derechos del individuo bajo GDPR
GDPR otorga los siguientes derechos clave a la información personal:
El derecho de acceso: usted, como controlador de datos, deberá cumplir con las solicitudes de las personas que deseen acceder a su información personal o información sobre cómo se utiliza. En RecMan, tanto los candidatos como las personas de contacto pueden acceder a sus propios perfiles, donde pueden ver los datos ubicados sobre los candidatos. Usted, como cliente, también puede exportar la información del candidato en formato PDF y JSON.
Los controladores de datos y los procesadores de datos también deberán explicar, en detalle, cómo se obtuvo la información, cómo y por qué se usa, y con quién comparten la información. Por parte de los controladores de datos, el intercambio de datos con subcontratistas, etc., está regulado dentro del acuerdo de procesador de datos entre el cliente y RecMan. Por parte de los clientes, se deben construir rutinas y una descripción de las mismas, que puedan ser proporcionadas a personas de contacto y candidatos.
Ref: Artículo 15 – Derecho de acceso del interesado
El derecho a que se actualicen o corrijan los datos personales incorrectos o incompletos: el controlador de datos deberá cumplir con las solicitudes de las personas que deseen mejorar/corregir la información que el controlador de datos tiene sobre la persona.
En caso de que los candidatos o personas de contacto tengan un inicio de sesión para sus perfiles, podrán corregir y actualizar su información personal ellos mismos. Si no lo hacen o requieren asistencia, puede ser editado desde la tarjeta de candidato, la tarjeta de cliente o la tarjeta de persona de contacto por los compañeros de trabajo que tienen acceso a estas tarjetas con el cliente.
Ref: Artículo 16 – Derecho de rectificación
“El derecho al olvido”: las personas pueden decidir que ya no desean que se procese su información personal y/o si desean que se elimine toda la información. Se debe elaborar un proceso para manejar tales procesos. Los candidatos que tienen un perfil en el sistema también tienen la opción de borrarse. En ese caso, se ubicará en una lista de eliminación en la base de candidatos de RGDP para que usted, como controlador de datos, tenga la opción de asegurarse de que la información del candidato no se encuentre en otros sistemas. Si se encuentra en otros sistemas, se debe juzgar si también se debe eliminar de allí o no. (dependiendo de si está o no obligado por ley a conservar la información o no).
Las personas también pueden solicitar que un usuario responsable deje de tratar sus datos
Ref: Artículo 17 – Derecho de supresión ('derecho al olvido')
Ref: Artículo 18 – Derecho a la limitación del tratamiento
Portabilidad de los datos: las personas pueden solicitar que se les entreguen sus datos personales a una persona jurídica sin oposición del responsable del tratamiento. Esta información debe estar en un formato legible por máquina. Usted, como cliente, tiene la opción de exportar la información del candidato en formato PDF y JSON, donde JSON es un formato legible por máquina. Se recomienda agregar un PDF al archivo JSON, ya que es más fácil de leer para las personas que JSON.
Ref: Artículo 20 – Derecho a la portabilidad de los datos
Consentir
El consentimiento para el procesamiento de datos es un enfoque importante del RGPD.
Una política clara y comprensible: asegúrese de que la política de privacidad sea comprensible y esté redactada en un lenguaje sencillo. Si el texto no es claro y comprensible, puede resultar en que la política no sea vinculante. También es fundamental explicar el motivo del tratamiento de los datos personales. RecMan viene con un texto preestablecido que se puede usar como punto de partida para dicha política; sin embargo, es muy importante que el texto se adapte a sus necesidades.
El administrador de su sistema también puede editar el texto en el sistema yendo a Configuración del sistema → corporaciones → elija corporación y luego presione el botón «Política de privacidad».
También es fundamental informar a las personas de posibles actualizaciones de la política de privacidad. Esta información también debe incluir qué cambios se han realizado.
Ref: Artículo 7.2 – Condiciones para el consentimiento
Ref: Artículo 6 – Legalidad del procesamiento
Solicite el consentimiento: es importante obtener el consentimiento antes de comenzar a procesar información personal. Para ello, debe tener un enlace visible a la política de privacidad en su sitio web, así como obtener el consentimiento cuando los candidatos se registren. Este consentimiento debe ser probado por el encargado del tratamiento posteriormente.
Ref: Artículo 7 – Condiciones para el consentimiento
Puede encontrar un ejemplo de texto de plantilla para obtener el consentimiento aquí.
Retirada del consentimiento: también debe ser posible retirar el consentimiento.
Ref: Artículo 7.3 – Condiciones para el consentimiento
Mapeo de datos
Descripción general de la información personal recopilada: para poder juzgar las demandas de RGPD para el procesamiento de datos, es importante que usted, como controlador de datos, también determine qué tipo de información personal recopila su organización, quién tiene acceso a la información, qué hace con la información y por cuánto tiempo la almacena.
Ref: Artículo 30 – Registros de actividades de procesamiento
Formulario de ejemplo que se puede utilizar como punto de partida para este tipo de mapeo:
Descripción general de dónde se almacena la información personal: determine dónde se almacena la información personal (en qué sistemas) y cómo fluyen los datos entre los sistemas. Tener una visión general de cómo fluyen los datos entre los sistemas es especialmente importante para poder garantizar que se eliminó toda la información sobre una persona (cuando se supone que debe eliminarse). También es importante anotar los lugares donde se almacena la información que está fuera de un sistema, por ejemplo, en el escritorio localmente, en una PC, etc.
Ref: Artículo 30 – Registros de actividades de procesamiento
Administración de información personal
Es importante realizar buenos procesos y rutinas para la administración de la información personal que recopila su organización.
Asignar o contratar un delegado de protección de datos: las empresas que tengan en su empresa principal la recopilación o el procesamiento de información personal estarán obligadas a asignar un delegado de protección de datos, DPO, quien tendrá un conocimiento profundo de la protección de datos. En caso de que no tenga esta competencia disponible internamente, puede considerar contratar a un asesor externo con este campo de competencia.
Ref: Artículo 37 – Designación del delegado de protección de datos
Conocimiento en la organización: asegúrese de que tanto la dirección como los empleados tengan conocimiento de las directrices del RGPD, así como de los procesos internos que atañen a las directrices del RGPD.
Ref: Artículo 25.2 – Protección de datos desde el diseño y por defecto
Seguridad: implementar la seguridad de la información como estándar y parte del diseño del sistema. La protección de datos debe integrarse en los productos y servicios en las primeras etapas de desarrollo. Este siempre ha sido un punto de enfoque importante para RecMan, incluso antes de que existiera el RGPD. Asegúrese de que los posibles sistemas de asistencia y similares también se centren en esto. Tenga en cuenta que este punto de seguridad se superpone con el punto de «conocimiento en la organización», ya que una brecha de seguridad también puede estar accediendo al sistema a través de un empleado de su corporación (ingeniería social). Así que asegúrese de que los empleados de su organización también sean conscientes de los riesgos y de lo que se puede hacer para reducirlos.
Ref: Artículo 25 – Protección de datos desde el diseño y por defecto
Sobre brechas de seguridad: las personas deben ser advertidas sobre una brecha que afecte su información personal dentro de las 72 horas.
Asimismo, la autoridad de control deberá ser notificada sobre la violación de la seguridad que induzca a un riesgo para los derechos de las personas y la libertad dentro de las 72 horas. Si ocurre tal situación, es importante trabajar junto con RecMan (procesador de datos) si se trata de datos almacenados en RecMan.
Ref: Artículo 33 – Notificación de una violación de datos personales a la autoridad de control
Ref: Artículo 34 – Comunicación de una violación de datos personales al interesado
¿Por dónde debo comenzar con el trabajo de preparación para el RGPD?
Hacer un plan de acción RGPD
Los controladores de datos y procesadores de datos que manejan información personal deben hacer un plan de acción de GDPR que considere todos los nuevos criterios. Para hacer un plan de acción, puede tomar puntos en la lista de verificación a continuación.
Lista de verificación de GDPR para asegurar los criterios:
- Mapeo completo para saber qué información recopila la organización y cómo se transfiere, procesa y almacena
- Identificar procesador(es) de datos
- Asegure los acuerdos de procesamiento de datos con sus procesadores de datos
- Asegúrese de que los proveedores sean compatibles con RGPD
- Identifique al controlador de datos (por lo general, es usted mismo)
- Educar a los empleados sobre la protección de datos y los criterios del RGPD, como los derechos de las personas.
- Asignar o contratar un delegado de protección de datos (si es necesario)
- Contar con procesos para obtener el consentimiento
- Informe a las personas almacenadas en su(s) sistema(s) sobre sus derechos en virtud del RGPD y asegúrese de tener una política de privacidad actualizada
- Cree un plan de notificación y acción en caso de una brecha de seguridad
- Haga un plan para revisiones periódicas de sus procesos de RGPDy juzgue la eficiencia y si se puede mejorar algo. Compruebe cómo sus procesos resisten las leyes y reglas que pueden haber cambiado mientras estaban en curso. Asegúrese regularmente de que sus medidas de seguridad también sean satisfactorias.