GDPR obligará a las empresas a deletrear, en lenguaje sencillo, por qué están recopilando datos de un usuario.
En un esfuerzo por armonizar sus leyes de privacidad de datos, la Unión Europea (UE), después de largas negociaciones, en abril de 2016 finalmente adoptó el Reglamento General de Protección de Datos («GDPR», reglamento de la UE 2016/679), que entrará en vigor en mayo 25, 2018. El GDPR es la pieza más importante de la legislación europea de protección de datos que se introducirá en 20 años y pretende proteger y potenciar la privacidad de los datos de los ciudadanos de la UE y remodelar cómo las organizaciones que operan en la región abordan la privacidad de los datos del usuario.
¿Qué es el GDPR?
La GDPR reemplaza y deroga la Protección de datos de la UE de 1995 directamente y está diseñada para mejorar significativamente la protección de los datos personales de los ciudadanos de la UE al tiempo que aumenta el cumplimiento normativo de las organizaciones que recopilan o procesan datos personales. Se basa en los requisitos de la Directiva de 1995 sobre privacidad y seguridad de los datos, pero incluye una serie de nuevas disposiciones que refuerzan los derechos de los interesados (usuarios / ciudadanos) y hace que las sanciones por infracciones sean más severas.
¿El Por qué del GDPR?
GDPR está diseñado para mejorar y armonizar las medidas de protección de datos en todos los países miembros de la UE, incluido el Reino Unido. La regulación obligará a las empresas a deletrear, en lenguaje sencillo, por qué están recopilando datos de un usuario y si se usarán para crear perfiles de sus acciones y hábitos. Los consumidores también tendrán acceso a los datos que cualquier compañía almacena sobre ellos, tienen la capacidad de corregir cualquier información inexacta y limitar el uso de las decisiones tomadas por los algoritmos.
Sin embargo, GDPR no es una directiva de privacidad electrónica, que cubriría los datos relacionados con el correo electrónico y las comunicaciones de marketing.
¿GDPR se aplica a mi negocio?
GDPR se aplica no solo a las organizaciones que operan dentro de la UE, sino que también afectará a las empresas que realicen actividades comerciales «reales y efectivas» en esta región. Cualquier empresa que realiza el procesamiento de datos que ofrece bienes o servicios (por pago o de forma gratuita) a los ciudadanos de la UE debe cumplir con los requisitos establecidos en GDPR. El ámbito territorial de la GDPR es mucho más amplio que la Directiva de 1995, ya que también se aplica a las empresas no pertenecientes a la UE que comercializan sus productos a los ciudadanos de la UE o controlan el comportamiento de las personas que viven en la UE. Incluso si su empresa tiene su sede fuera de la UE, pero controla o procesa datos de ciudadanos de la UE, GDPR se aplica a usted.
Qué son «Datos Personales» (como se define por el GDPR)
Datos personales es toda información que se relaciona con una persona física identificada o identificable (sujeto de datos)
Una persona física identificable es aquella que puede identificarse directa o indirectamente por referencia a un identificador, como un nombre, un número de identificación, datos de ubicación, un identificador en línea, o uno o más factores específicos de los factores físicos, fisiológicos, genéticos, mentales, identidad económica, cultural o social de esa persona.
Manejo de datos personales bajo GDPR
Según el GDPR, el sujeto de los datos es la persona física identificada o identificable, es decir, el individuo con el que se relacionan los datos personales.
El Controlador es la persona física o jurídica, autoridad pública, agencia u otro organismo, solo o en conjunto con otros, determina el propósito y los medios del procesamiento de datos personales.
El Procesador es la persona física o jurídica, autoridad pública, agencia u otro organismo con datos de procesos en nombre del controlador.
El Contralor tendrá que contar con un Acuerdo de Procesamiento de Datos apropiado con cualquier tercero con el que comparta datos con ese tercero que sea un Procesador.
Los controladores y procesadores también deben implementar medidas técnicas y organizativas (TOM) apropiadas, que incluyan, según corresponda:
- Seudonimización y cifrado de datos personales
- Confidencialidad, integridad, disponibilidad y flexibilidad constantes de los sistemas y servicios de procesamiento
- Restaure la disponibilidad y el acceso a los datos personales de manera oportuna en caso de incidente físico o técnico
- Proceso para probar, evaluar y evaluar regularmente la efectividad de los TOM
La adopción de tales medidas debe evaluarse y contextualizarse teniendo en cuenta el estado de la técnica, los costos de implementación y la naturaleza, alcance, contexto y propósitos del procesamiento, así como el riesgo de diversa probabilidad y severidad para los derechos y libertades de personas naturales.
Privacidad por diseño: facilita la inclusión de políticas, directrices e instrucciones de trabajo relacionadas con la protección de datos en las primeras etapas de los proyectos, incluidos los datos personales.
El GDPR también presenta los conceptos ‘Privacidad por diseño’ y ‘Privacidad por defecto’.
Privacy by Design sostiene que las organizaciones deben considerar la privacidad en las etapas iniciales de diseño y durante todo el proceso de desarrollo de nuevos productos, procesos o servicios que implican el procesamiento de datos personales.
La privacidad por defecto significa que cuando un sistema o servicio incluye opciones para el individuo sobre la cantidad de datos personales que comparte con otros, la configuración predeterminada debería ser la más amigable con la privacidad.
Además, los controladores deben informar las infracciones de datos personales a la autoridad de supervisión pertinente dentro de las 72 horas. Si existe un alto riesgo para los derechos y libertades de los interesados, también deben notificar a los interesados.
La privacidad por diseño sostiene que las organizaciones deben considerar la privacidad en las etapas iniciales de diseño y durante todo el proceso de desarrollo de nuevos productos, procesos o servicios que implican el procesamiento de datos personales.
La privacidad por defecto significa que cuando un sistema o servicio incluye opciones para el individuo sobre la cantidad de datos personales que comparte con otros, la configuración predeterminada debería ser la más amigable con la privacidad.
Además, los controladores deben informar las infracciones de datos personales a la autoridad de supervisión pertinente dentro de las 72 horas. Si existe un alto riesgo para los derechos y libertades de los interesados, también deben notificar a los interesados.
Los derechos de individuos con el GDPR
Consentimiento: el controlador debe asegurarse de que el interesado haya dado su consentimiento. Los sujetos de datos no pueden ser forzados a dar su consentimiento, o no estar conscientes de que están dando su consentimiento a cualquier persona que procese sus datos personales.
La GDPR amplía la Directiva de 1995 intensificando el estándar para divulgaciones al obtener el consentimiento, que debe ser «otorgado libremente, informado y sin ambigüedades». El lenguaje debe ser «claro y simple» que sea «claramente distinguible de otros asuntos». Los controladores de datos son también se requiere que proporcione evidencia de que sus procesos son conformes y seguidos en cada caso donde se le pide a los sujetos de datos su información.
El derecho de acceso: las personas tienen derecho a acceder a sus datos personales e información complementaria y a conocer y verificar la legalidad del procesamiento
El derecho de rectificación: significa que el interesado tiene derecho a solicitar la rectificación de los datos personales inexactos que le conciernen. El interesado también tiene derecho a que se completen los datos personales incompletos, incluso mediante el suministro de una declaración complementaria
El derecho a la restricción del procesamiento: permite que las personas obtengan de la restricción del controlador el procesamiento de sus datos cuando se aplican algunas condiciones
El derecho a oponerse: permite a las personas objetar el procesamiento de sus datos en función de intereses legítimos o la realización de una tarea de interés público / ejercicio de autoridad oficial (incluidos los perfiles), marketing directo (incluido el perfil) y procesamiento para fines de investigación / estadística científica / histórica
El derecho a no estar sujeto a la toma de decisiones individualizada que dé lugar a decisiones que tengan efectos legales o significativos: Esto significa que está prohibida cualquier actividad de procesamiento que sea totalmente automática y genere decisiones que afecten a los individuos de manera suficientemente significativa a menos que dicho procesamiento pueda se justificará en una de las tres bases establecidas como excepciones en virtud del Artículo 22 (2), a saber: cumplimiento de un contrato, autorizado por la ley o consentimiento explícito.
El derecho a la portabilidad de datos: permite a las personas obtener y reutilizar sus datos personales para sus propios fines en diferentes servicios, mover, copiar o transferir datos personales fácilmente de un entorno de TI a otro de manera segura, sin obstáculos para la usabilidad.
El derecho a borrarse («derecho a ser olvidado»): este principio establece que un individuo puede solicitar que se eliminen o eliminen sus datos cuando no exista una razón de peso para que un negocio continúe procesando esa información.
¿Está Docebo en cumplimiento con GDPR?
Docebo es plenamente consciente de los requisitos y restricciones de GDPR y cumplirá totalmente con la normativa cuando entre en vigor el 25 de mayo.
Docebo es una plataforma de software como servicio (SaaS) para el aprendizaje en línea que proporciona un Sistema de gestión de aprendizaje (LMS) basado en la nube para toda la empresa, diseñado para aumentar el rendimiento y el compromiso de aprendizaje.
Los propósitos y medios del procesamiento de los datos personales relacionados con los usuarios finales de la plataforma de Docebo los determinan los clientes de Docebo, que actúan como controladores y deben informar a sus usuarios finales que se va a recopilar y cómo y por qué se usarán esos datos. .
En este escenario, Docebo desempeña el papel de Procesador al proporcionar el uso de la plataforma LMS. El procesamiento de los datos del cliente por parte de Docebo puede regirse por un contrato, según el Anexo de procesamiento de datos de Docebo (DPA) de acuerdo con el art. 28 de GDPR.
Docebo mantiene un sistema de gestión de la seguridad de la información («ISMS»), que cuenta con la certificación ISO 27001. Dentro de este marco, Docebo ha definido un programa integral de seguridad de la información, que incluye un conjunto completo de controles implementados de acuerdo con ISO 27001 y AICPA SOC 2 que proporcionan una cobertura adecuada del Artículo 32 de GDPR, privacidad por diseño y otros requisitos de GDPR. Docebo es compatible con EU-U.S. y Swiss-U.S. Privacy Shield y han obtenido el sello correspondiente de TRUSTarc.
Cómo Docebo proporciona mecanismos de cumplimiento GDPR dentro de su plataforma de aprendizaje:
Nuestros clientes pueden especificar su política de privacidad …
El derecho de acceso: los usuarios pueden cambiar sus datos cuando sea necesario en el portal del usuario
El derecho a la rectificación: los usuarios pueden garantizar que sus datos sean correctos en el portal del usuario
El derecho a borrar: los usuarios pueden elegir y elegir la información que desean compartir con el controlador y pueden eliminar cualquier información que no quieran compartir en el portal del usuario.
Únase a Daniele Baudone, Jefe Oficial de Seguridad de la Información en Docebo, el 10 de mayo para profundizar en cómo Docebo cumple con GDPR y los pasos que debe seguir para garantizar el cumplimiento de su propia organización.
Descargo de responsabilidad: la información en esta página no es asesoramiento legal para que usted o su empresa utilicen para cumplir con las leyes de privacidad de datos de la UE como el GDPR. El contenido de esta página está destinado sólo con fines educativos y para proporcionarle información general que lo ayudará a comprender mejor los esfuerzos de Docebo para cumplir con la regulación.
NOTA: Este seminario web se llevará a cabo en Inglés
¿Estás preparado para el GDPR? ¿Su política de recopilación de datos cumple con esta regulación sin precedentes?