Contenido Introducción ...................................................................................................................................... 3 ¿Qué son los datos personales? ..................................................................................................... 3 Aplicar principios clave: .................................................................................................................. 4 Los 7 pasos para la adopción ........................................................................................................ 5
Paso 1.- Consentimiento ...................................................................................................................... 5 Paso 2.- Informar cuando se recopilan datos personales. ...................................................... 6 Paso 3.- Conserva los datos sólo el tiempo que sea necesario............................................. 6 Paso 4.- proteger los datos personales en su tratamiento. .................................................... 7 Paso 5.- Mantener documentación sobre el tratamiento de los datos. .............................. 8 Paso 6.- El personal subcontratado debe cumplir con las obligaciones. ........................... 9 Paso 7.- cumplir con las siguientes disposiciones. ..................................................................... 9 Las sanciones .................................................................................................................................. 10
Introducción La información que el personal del instituto de ciberseguridad plasmamos en este documento, está destinada a contribuir o ayudar a las empresas y personas que manejan datos personales como actividad principal del negocio, a la mejorar de la comprensión de las normas de protección de datos personales, teniendo un enfoque principal las normas de protección de datos que rigen en la Unión europea, mejor conocido como RGPD. Ni la Comisión Europea ni ninguna persona que actúe en nombre de la Comisión Europea es responsable del uso que pueda hacerse de la información de este documento. Dado que este documento refleja el estado de la técnica en el momento de su redacción, debe considerarse como una "herramienta viva" abierta a la mejora y su contenido puede estar sujeto a modificaciones sin previo aviso. Ahora buscaremos destacar unos los pocos pasos que se deben seguir para prepararse para el RGPD.
¿Qué son los datos personales? Los datos personales son cualquier información que se relacione con un individuo vivo real (no entidades legales). Esto incluye, por ejemplo: nombre, apellido, dirección de casa, dirección de correo electrónico o datos de geolocalización sobre sus empleados, clientes o sus proveedores.
Aplicar principios clave: Es necesario considerar unos puntos clave que nos permitirán llevar a cabo una correcta adopción del RGPD partiendo desde nuestra regulación nacional de protección de datos personales, dentro de esos puntos importantes son:
Recabar u obtener los datos personales con un propósito claro, definido y no los utilicen para otra cosa distinta a ese propósito (si les dices a tus clientes que te den su correo electrónico para brindarles nuevas ofertas o promociones, no puedes o deberías usar este correo electrónico para nada más o vender a otro negocio).
No recopilar más datos o información de los que se necesitan para el propósito (imaginemos lo siguiente, si realizas entregas a domicilio, dentro de la información para entrega probablemente se necesite: una dirección de entrega un nombre a quien entregar, probablemente un número de teléfono y método o forma de pago, pero no necesitas saber si la persona está casada o soltera).
Mientras menos información tengas de los usuarios, menos problemas tendrás si llegase a presentarse una filtración de datos, así mismo, la cantidad de recursos, en materia de tiempo, personal, tecnología y dinero implementados para proteger esa información, serán menores.
Los 7 pasos para la adopción Paso 1.- Consentimiento Todas las empresas tienen empleados, y una de las preguntas como administrador de IT deberías que deberías de formularte ¿se está utilizando, almacenando y transfiriendo los datos personales según el contrato de trabajo, las obligaciones legales e inclusive funciones organizacionales? Es de suma importancia que los empleados conozcan los principios básicos de la forma en la que estarán dando tratamiento a la información con base a las obligaciones legales de la empresa, por ejemplo, que para administrar una lista de clientes y enviarles un aviso u ofertas primero se debió obtener el consentimiento de esos clientes. No siempre se necesita el consentimiento. Hay casos en particular en los que los clientes esperan que su información sea procesada. Por ejemplo, un negocio de venta de pizza, sin la información básica, como la dirección, la pizza no podría ser entregada, sin embargo, eso no implica que la información no deba ser protegida. La organización debe informar a las personas sobre la información que se recabará, así como el uso que se le dará, y la forma de dejar de procesar dichos datos si el cliente lo solicita. Existen diversas formas de obtener ese consentimiento, dentro de los que se encuentran:
Cookies en el navegador Documentos escritor En forma de audio
Paso 2.- Informar cuando se recopilan datos personales. Debemos informar a clientes, proveedores y empleados que procesamos sus datos personales y el propósito con el que lo hacemos. Pero no es necesario informar a las personas cuando ya cuentan con información sobre cómo utilizará los datos, por ejemplo, cuando un cliente solicita una entrega a domicilio, ejemplo similar a lo de la pizzería del punto anterior al respecto del consentimiento. También debemos informar a los usuarios que soliciten sobre los datos personales que tenemos sobre ellos y darles acceso a sus datos. Como recomendación, siempre mantén los datos personales en orden, por ejemplo, cuando un cliente, proveedor o empleado solicite qué tipo de datos personales tenemos de ellos, podamos proporcionarlos fácilmente y sin complicaciones adicionales.
Paso 3.- Conserva los datos sólo el tiempo que sea necesario. El mantener datos personales almacenados, y no eliminarlos después de haberles dado el tratamiento, puede generar diversos problemas de seguridad como filtración maliciosa de datos. Te brindamos una serie de recomendaciones de tiempo con base al tipo de datos: Datos de sus empleados: te recomendamos que sólo mantengas la información mientras dure la relación laboral o las obligaciones legales relacionadas. Datos sobre sus clientes: mientras dure la relación con el cliente y las obligaciones legales relacionadas (por ejemplo, a efectos fiscales). Una vez que haya finalizado la relación laboral o contractual, te recomendamos eliminar los datos cuando ya no sean necesarios para los fines para los que los recopiló.
Paso 4.- proteger los datos personales en su tratamiento. Si almacenas datos personales en un sistema de TI, es de vital importancia limitar el acceso a los archivos o base de datos que contienen los datos, p. Ej. por una contraseña, firewall, lista de control de acceso, permisos, etc. Actualiza periódicamente la configuración de seguridad de los sistemas donde almacenas la información. (Nota: el RGPD no prescribe el uso de ningún sistema de TI específico) Si almacena documentos físicos con datos personales, debemos asegurarnos de que no sean accesibles a personas no autorizadas; ponlos en una caja fuerte, en un armario o lugar en el que te permita mantenerlos seguros y confidenciales.
Paso 5.- Mantener documentación sobre el tratamiento de los datos. La documentación es de vital importancia en cualquier proceso de tecnología y seguridad, para mantener la operación en la organización, te invitamos a documentar de forma breve donde puedas explicar qué datos personales poseen y por qué motivos. Es posible que esta documentación se deba poner a disposición de la autoridad de regulación nacional de protección de datos cuando la solicite. La documentación debe incluir información que te ayudamos a identificar de la siguiente forma: Información El propósito del procesamiento de datos
Los tipos de datos personales
Las categorías de interesados afectados Las categorías de destinatarios Los periodos de almacenamiento
Las medidas de seguridad técnicas y organizativas para proteger los datos personales. Si los datos personales se transfieren a destinatarios fuera de la UE
Ejemplo de información Enviar a los clientes sobre ofertas especiales / entrega a domicilio; pagar a los proveedores; salario y cobertura de seguridad social para empleados. Datos de contacto de los clientes; Datos de contacto de proveedores; Datos de los empleados Empleados; Clientes; Proveedores Autoridades laborales; Autoridades fiscales Datos personales de los empleados hasta la finalización del contrato de trabajo (y obligaciones legales relacionadas); los datos personales de los clientes hasta el final de la relación cliente / contractual Soluciones de sistemas de TI actualizadas periódicamente; Armario con llave / caja fuerte Uso de un procesador fuera de la UE (por ejemplo, almacenamiento en la nube)
Paso 6.- El personal subcontratado debe cumplir con las obligaciones. Si subcontrata el procesamiento de datos personales a otra empresa, utilice solo un proveedor de servicios que garantice el procesamiento de acuerdo con los requisitos del GDPR (por ejemplo, medidas de seguridad). Antes de firmar un contrato, compruebe si ya han cambiado y se han ajustado al RGPD. Ponlo en el contrato.
Paso 7.- cumplir con las siguientes disposiciones. Para proteger mejor los datos personales, es posible que las organizaciones deban nombrar un responsable de protección de datos (DPO). Sin embargo, no es necesario que designe un Oficial de protección de datos si el procesamiento de datos personales no es una parte fundamental de su negocio, no es un procesamiento riesgoso y su actividad no es a gran escala; Por ejemplo, si su empresa solo recopila datos sobre sus clientes para la entrega a domicilio, no es necesario que designe un DPO. Incluso si necesita hacer uso de un DPO, él / ella podría ser un empleado existente encargado de esta función además de sus otras tareas. O podría ser un consultor externo; de la misma manera que muchas organizaciones utilizan contadores externos. Normalmente no es necesario llevar a cabo una evaluación de impacto de protección de datos. Dicha evaluación de impacto está reservada para aquellos que presentan un mayor riesgo para los datos personales, por ejemplo, realizan un monitoreo a gran escala de un área de acceso público (por ejemplo, videovigilancia). Si es una pequeña empresa que administra los salarios de los empleados y una lista de clientes, no es necesario que realice una evaluación del impacto de la protección de datos para esas operaciones de procesamiento.
Las sanciones Las autoridades reguladoras de protección de datos están facultadas para sancionar las infracciones de las leyes de protección de datos. Estas unidades reguladoras como parte de las sancionen pueden adoptar medidas correctivas (como una orden o una suspensión temporal) y / o imponer una multa. Su decisión de imponer una multa debe ser proporcionada y basarse en una evaluación de todas las circunstancias del caso individual. Si deciden imponer una multa, el monto de la multa también dependerá de las circunstancias del caso, incluida la gravedad de la infracción o si la infracción fue intencional o negligente. También tendrán en cuenta su actitud e intenciones.