Reglamento General de Protección de Datos (RGPD)
Bienvenido a Phone GS
Una visión general de las nuevas leyes de privacidad y protección de datos que entrarán en vigor el 25 de mayo de 2018 y algunas buenas prácticas de cumplimiento de RGPD El RGPD es el cambio más significativo en la regulación de la privacidad de datos en décadas. Las empresas están trabajando para implementar cambios radicales en sus sistemas y contratos, y las que operan en plataformas compatibles y amigables con la privacidad están un paso por delante. Esta guía tiene como objetivo ayudar a nuestros usuarios a comprender las consecuencias generalizadas del RGPD, la oportunidad que ofrece para mejorar las actividades de procesamiento de datos, y cómo cumplir y seguir cumpliendo con el RGPD.
ESTA GUÍA RGPD ES SOLO PARA FINES INFORMATIVOS. ESTO NO ES UNA OPINIÓN LEGAL. POR FAVOR, PÓNGASE EN CONTACTO CON SU ASESOR LEGAL PARA ASESORAMIENTO PERSONALIZADO SOBRE CÓMO EL DMP PUEDE AFECTAR SU NEGOCIO.
Q¿Qué es RGPD?
El Reglamento General de Protección de Datos ("RGPD") es una nueva ley europea de datos y privacidad. Requiere protecciones de privacidad más granulares en los sistemas de una organización, acuerdos de protección de datos más matizados y divulgaciones más fáciles de usar y detalladas sobre las prácticas de privacidad y protección de datos de una organización.
El RGPD sustituye al actual marco de protección de datos de la UE de 1995 (comúnmente conocido como «Directiva de protección de datos»). La Directiva sobre protección de datos exigía una transposición a la legislación nacional de los Estados miembros de la UE, lo que dio lugar a una fragmentación del panorama jurídico de la protección de datos en la UE. El RGPD es un reglamento europeo que tiene un efecto jurídico directo en todos los Estados miembros de la UE, es decir, no es necesario transponerlo a la legislación nacional de los Estados miembros de la UE para que sea vinculante. Esto reforzará la coherencia y la aplicación armoniosa de la legislación en la UE. El RGPD puede aplicarse a organizaciones ajenas a la UE A diferencia de la Directiva sobre protección de datos, el RGPD se aplica a todas las empresas que operan a nivel mundial, no sólo a las ubicadas en la UE. En virtud del RGPD, las organizaciones pueden tener un ámbito de aplicación si (i) la organización está establecida en la UE, o (ii) la organización no está establecida en la UE, pero las actividades de tratamiento de datos se refieren a particulares de la UE y se refieren a bienes y servicios para ellos o al seguimiento de su comportamiento.
El tratamiento de datos personales es un concepto amplio en el marco del RGPD El RGPD regula cómo los datos personales de las personas de la UE pueden ser tratados por las organizaciones. "Datos personales" y "tratamiento" son términos utilizados con frecuencia en la legislación, y la comprensión de su significado particular en el RGPD arroja luz sobre el verdadero alcance de esta ley:
Los datos personales son información sobre una persona identificada o identificable. Este concepto es muy amplio porque incluye cualquier información que se pueda utilizar sola o en combinación con otra información para identificar a una persona. Los datos personales no son solo el nombre o la dirección de correo electrónico de una persona. También puede incluir información como información financiera o incluso, en algunos casos, una dirección IP. Además, algunas categorías de datos personales tienen un mayor nivel de protección de datos debido a su naturaleza sensible. Estas categorías de datos abarcan el origen racial y étnico, las opiniones políticas, las creencias religiosas y filosóficas, la afiliación sindical, los datos genéticos, los datos biométricos, los datos de salud, la información sobre la vida sexual o la orientación sexual y los antecedentes penales.
El tratamiento se refiere a cualquier transacción o conjunto de transacciones realizadas sobre datos personales o en conjuntos de datos personales, ya sea a través de medios automatizados como la recopilación, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o de otro modo puestos a disposición, alineación o combinación, restricción, borrado o destrucción. En términos prácticos, esto significa que cualquier proceso que almacene o consulte datos personales se considerará un tratamiento. Conceptos clave: responsables del tratamiento de datos y procesadores de datos En la legislación de protección de datos de la UE, dos tipos de entidades pueden procesar datos personales: el responsable del tratamiento de datos y el procesador de datos.
La persona encargada del tratamiento ("controlador") es la entidad que, sola o en conjunción con otros, determina los fines y medios de tratamiento de los datos personales. El procesador de datos ("procesador") es la entidad que procesa datos personales en nombre del responsable del tratamiento. Es importante determinar si la entidad que procesa datos personales para cada actividad de procesamiento de datos es un controlador o procesador. Este ejercicio de mapeo permite a una organización comprender los derechos y obligaciones asociados a cada una de sus operaciones de procesamiento de datos.
PhoneGS tiene algunas actividades de procesamiento de datos para las que actúa como controlador de datos, y otras para las que actúa como procesador de datos. Una buena ilustración de este doble rol es cuando PhoneGS se ocupa de las transacciones con tarjetas de crédito. Para facilitar una transacción es necesario procesar datos personales, como el nombre del titular de la tarjeta, el número de tarjeta de crédito, la fecha de caducidad de la tarjeta de crédito y el código CVC. Los datos del titular de la tarjeta son enviados por el usuario de PhoneGS a PhoneGS a través de la API PhoneGS (o por otro método de integración, como PhoneGS Elements). PhoneGS entonces utiliza los datos para completar la transacción en los sistemas de red de tarjetas de crédito, una característica que PhoneGS realiza como un procesador de datos. Sin embargo, PhoneGS también utiliza datos para cumplir con sus obligaciones reglamentarias (como Conocer a su cliente ("KYC") y "Anti lavado de dinero" ("AML"), y en este rol, PhoneGS es un controlador de datos.
La siguiente consideración es si una actividad de procesamiento determinada cumple con el RGPD. Bajo el RGPD, cualquier actividad de tratamiento de datos, realizada como responsable o procesador, debe basarse en una base legal. El RGPD reconoce un total de seis bases jurídicas para el tratamiento de los datos personales de las personas de la UE (en el RGPD, las personas de la UE se denominan «personas afectadas»). Estas seis bases jurídicas, en el orden del arte. 6 (1) a) a f) RGPD, son: El interesado ha dado su CONSENTIMIENTO al tratamiento de sus datos personales para uno o más fines específicos;
El tratamiento es necesario para el CONTRAT al que el interesado es parte o para tomar medidas a petición del interesado antes de la celebración de un contrato;
El tratamiento es necesario para el RESPECTO DE OBLIGACIONES LEGALES a la que está sujeto el gestor de tratamiento;
EL TRATAMIENTO ES NECESARIO PARA PROTEGER UN INTERÉS VITAL DE LA PERSONA EN CUESTIÓN.
EL TRATAMIENTO DE DATOS ES NECESARIO PARA LLEVAR A CABO UNA TAREA REALIZADA EN INTERÉS PÚBLICO O EN EL EJERCICIO DE LA AUTORIDAD PÚBLICA;
o el tratamiento es necesario para los INTEREST LEGITIMATE perseguidos por la entidad, a menos que dichos intereses sean superados por los intereses o derechos y libertades fundamentales del interesado que requieran la protección de los datos personales.
Existen similitudes entre la lista de tratamiento autorizada por el RGPD y la lista contenida en la Directiva de Protección de Datos. Sin embargo, también hay discrepancias significativas. El cambio más frecuentemente mencionado por el RGPD, en relación con la Directiva de Protección de Datos, es el endurecimiento de los requisitos de consentimiento (punto 1 de la lista anterior). Los requisitos de consentimiento del RGPD incluyen: i) el requisito de que el consentimiento sea verificable, (ii) la solicitud de consentimiento debe distinguirse claramente de otras cuestiones, y (iii) los interesados deben ser informados de su derecho a retirar su consentimiento. También es importante tener en cuenta que se impone un requisito de consentimiento aún mayor ("consentimiento explícito") con respecto al procesamiento de datos confidenciales.
Otro punto importante a tener en cuenta es el elemento de interés legítimo (punto 6 de la lista anterior). Cuando una organización se basa en un "interés legítimo" para apoyar el procesamiento de datos personales, debe ser consciente del requisito de prueba de equilibrio asociado con esa base jurídica. Para cumplir con el principio de rendición de cuentas en virtud del RGPD, una organización debe documentar su cumplimiento de la prueba de equilibrio, que incluye su enfoque y los argumentos que ha considerado antes de concluir que se estaba cumpliendo la prueba de equilibrio.
Los derechos de las personas en virtud del RGPD en virtud de la Directiva de protección de datos, se garantizaba a los particulares ciertos derechos fundamentales con respecto a sus datos personales. Los derechos de las personas siguen aplicándose en virtud del PRD, sujeto a ciertos cambios explicativos. En el cuadro que figura a continuación se comparan los derechos de las personas físicas en virtud de la Directiva de protección de datos y el RGPD.
Las personas tienen derecho a saber si sus datos personales están siendo procesados, qué y cómo se procesan los datos personales sobre ellos y cuáles son los datos que se procesan. El alcance de este derecho se ha ampliado en el marco del RGPD. Por ejemplo, al solicitar acceso, las personas deben recibir información adicional, incluida información sobre sus derechos adicionales de protección de datos en virtud del RGPD que no existía anteriormente, como el derecho a la portabilidad de los datos. DERECHO DE OPOSICION Una persona puede prohibir ciertas operaciones de procesamiento de datos cuando tenga motivos legítimos imperiosos. Las personas también pueden oponerse al tratamiento de sus datos personales con fines de marketing directo. El RGPD ha ampliado el ámbito de aplicación de este derecho en relación con la Directiva de protección de datos. RecTIFICATION O EFFACEMENT RIGHT Las personas pueden solicitar que se completen los datos incompletos o que se corrijan datos incorrectos para garantizar que el tratamiento de los datos personales sea coherente con los principios de protección de datos aplicables. La posición del RGPD es materialmente la misma que la de la Directiva de Protección de Datos, pero algunas protecciones procesales se refuerzan en el marco del RGPD. GRATIS A LA RESTRICCION No hay derecho a restringir el tratamiento. Sin embargo, la Directiva de protección de datos otorga a las personas el derecho a solicitar que se bloqueen sus datos personales cuando las operaciones de tratamiento no cumplan los principios de protección de datos, por ejemplo, cuando los datos son incompletos o inexactos. El RGPD ofrece a las personas el derecho a solicitar la restricción del tratamiento de sus datos personales en determinadas circunstancias, incluyendo cuando el individuo disputa la exactitud de los datos. INDIVIDUALs tiene derecho a solicitar la supresión de sus datos personales si las operaciones de tratamiento no cumplen con los principios de protección de datos. Por lo tanto, ese derecho es muy estrecho. El RGPD ha ampliado significativamente este derecho. Por ejemplo, el derecho de borrado puede ejercerse cuando los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos, o cuando la persona retira el consentimiento para el tratamiento y ninguna otra base legal justifica el procesamiento posterior. La Directiva sobre protección de datos no menciona explícitamente la "portabilidad de datos" como un derecho humano. Las legislaciones de los Estados miembros de la UE pueden haber aplicado derechos adicionales similares a un derecho nacional de portabilidad de los datos. Las personas pueden solicitar que los datos personales en poder de un administrador de procesamiento se proporcionen a sí mismos o a otro administrador de procesamiento. Transferencias internacionales de datos El tema de los flujos internacionales de datos ha sido un tema candente en los últimos años, y ha habido un considerable debate y reforma de la ley en este ámbito. También es cierto que las leyes que rodean los flujos internacionales de datos seguirán evolucionando en los años venideros. Hoy en día, de acuerdo con la legislación de protección de datos de la UE, se deben cumplir ciertos requisitos antes de que los datos personales de los ciudadanos de la UE puedan transferirse fuera de la UE, a menos que la organización que recibe los datos personales se encuentre en una zona de lista blanca.
En virtud del RGPD, las transferencias internacionales de datos son un tema difícil de gestionar a medida que la ley evoluciona y sólo hay un pequeño número de mecanismos de transferencia de datos disponibles. A pesar del desafío, las organizaciones necesitan mantenerse al tanto de los desarrollos porque el flujo de datos personales es la columna vertebral de cualquier empresa de tecnología. Un mecanismo particularmente importante para el flujo de datos personales de la UE a los Estados Unidos es el marco del Escudo de privacidad. El Escudo de privacidad UE-EE. UU. y Suiza-EE. UU. es un método que garantiza que una organización proporciona un nivel adecuado de protección de datos, lo que requiere que una organización certifique y se registre de acuerdo con los requisitos del marco del Escudo de privacidad. PhoneGS ha sido certificado como escudo de PRIVACIDAD UE-EE.UU. y Suiza-EE.UU. por esta razón. La certificación PhoneGS Privacy Shield está aquí y nuestra política de privacidad aquí. Para obtener más información, visite la página de soporte de transferencia de datos de la UE de PhoneGS aquí.
En términos más generales, PhoneGS tiene medidas internacionales de cumplimiento de la transferencia de datos que rigen el procesamiento general de los datos personales de las personas de la UE por parte de Transipe. Estas medidas se basan en las cláusulas contractuales tipo de la UE. Como se ha señalado anteriormente, los flujos internacionales de datos siguen siendo un ámbito de posible reforma legislativa. Por esta razón, estamos monitoreando de cerca los desarrollos legales relacionados con las medidas internacionales de cumplimiento de la transferencia de datos y estamos tomando todas las medidas a nuestra disposición para garantizar una transferencia internacional conforme de los datos personales de las personas afectadas. También significa que hemos integrado redundancias en nuestro programa de cumplimiento de transferencia de datos tanto como sea posible y estamos buscando ampliarlos con las herramientas disponibles para PhoneGS bajo el RGPD. Incumplimiento La consecuencia más mencionada del incumplimiento del RGPD es la multa máxima que se puede imponer a una organización no conforme. La multa máxima que puede percibirse es del 4 % del volumen de negocios total o de 20 millones de euros, en función del importe más alto. Otros tipos de infracciones están sujetas a una multa máxima del 2 % del volumen de negocios total, es decir, 10 millones de euros, en función del importe más elevado.
Las facultades de las autoridades de protección de datos ("DPA") en virtud de s. 58 del RGPD. Estas facultades incluyen la capacidad de DPS de imponer medidas correctivas, como una limitación temporal o permanente de las actividades de procesamiento de datos, incluida una prohibición completa del procesamiento de datos, o para ordenar la suspensión de los flujos de datos a un destinatario en un tercer país.
PhoneGS y RGPD En PhoneGS, la privacidad, la protección de datos y la seguridad de los datos están en el corazón de todo lo que hacemos. Trabajamos continuamente para establecer el listón para nosotros mismos en el área de la seguridad y privacidad de los datos, y ver el RGPD como una oportunidad para que toda la industria se una y mejore. PhoneGS comenzó sus esfuerzos de cumplimiento de RGPD en 2016, y estamos trabajando para garantizar que nuestros servicios cumplan con RGPD a partir de la fecha de vigencia del 25 de mayo de 2018. El cumplimiento de RGPD incluye muchos elementos. Entre otras cosas, estamos actualizando nuestra documentación y acuerdos para alinearlos con los requisitos del RGPD. También revisamos nuestras políticas y procedimientos internos para asegurarnos de que cumplen con el estándar RGPD. La mayoría de los elementos de cumplimiento del RGPD tienen lugar "bajo el capó" de una organización con respecto a las actualizaciones sobre cómo una organización procesa los datos personales. Estos son algunos de los pasos que las plataformas como PhoneGS hacen para sus usuarios (y ellos mismos) en anticipación del RGPD:
Realizar un análisis de las discrepancias entre los requisitos impuestos por la Directiva de Protección de Datos y el RGPD, aplicable a las actividades comerciales de la empresa.
Revise y actualice las herramientas, procedimientos y políticas internas según sea necesario.
Revise la conciliación de datos y las prácticas de inventario de datos y actualícelas según sea necesario para cumplir con las obligaciones de retención de documentos en virtud de la DMPP. Realice un análisis de carencias específico de la herramienta de revisión de privacidad y protección de datos para cumplir con los requisitos de la evaluación del impacto de la protección de datos. Actualice el enfoque de las transferencias internacionales de datos.
Actualizar contratos para reflejar el arte. 28 obligaciones del RGPD con respecto a las partes contratantes de la sociedad.
Revisar y, si es necesario, revisar las relaciones con los proveedores para cumplir con los requisitos del RGPD para garantizar que estos terceros reciban y procesen datos personales legalmente. Actualice el programa de cumplimiento de privacidad de la empresa con capacitación continua de los empleados para reflejar los cambios que se implementarán para el PDPP.
El Principio de Responsabilidad de los usuarios de PhoneGS debe consultar con sus profesionales legales para comprender el alcance de sus obligaciones de cumplimiento en virtud del RGPD. Como regla general, si usted es una organización con sede en la UE o si su organización maneja los datos personales de las personas de la UE, el RGPD se aplicará a usted.
Un principio clave del RGPD a tener en cuenta es el principio de responsabilidad. El principio de responsabilidad establece que el responsable del tratamiento debe poder demostrar que sus actividades de tratamiento son coherentes con los principios de protección de datos establecidos en el RGPD. La forma más fácil de demostrar el cumplimiento es documentar y comunicar su enfoque de cumplimiento de RGPD.
En PhoneGS, el cumplimiento ha sido el resultado de la colaboración entre muchas personas dentro de nuestra organización, incluyendo operaciones de usuario, ventas, ingeniería, seguridad y derecho. En nuestra experiencia, las asociaciones multifuncionales y la documentación fácil de leer son extremadamente útiles para el proceso general de cumplimiento de RGPD.
Una lista de verificación RGPD para su negocio Sólo quedan unas pocas semanas hasta el 25 de mayo de 2018 para que las pequeñas y medianas empresas se enfrenten a desafíos particulares en la preparación para el RGPD. Con esto en mente, hemos reunido algunos de los elementos clave de un programa de cumplimiento RGPD en una lista de comprobación de usuario.
✓Enla misma página: Reúnase con sus colegas técnicos, de atención al cliente y legales y conozca cuál es el RGPD y su impacto en su organización. Obtengauna imagen clara de lo que está pasando con los datos personales de su organización:
Un ejercicio de mapeo de datos puede ayudarle a descubrir cómo sus sistemas almacenan y procesan los datos personales. Las siguientes preguntas pueden guiarle: ¿Qué categorías de datos personales trata? (por ejemplo, información financiera, información de salud, información de marketing, etc.) ¿Para qué categorías de personas procesa los datos personales? (por ejemplo, tarjetahabientes, niños, pacientes, etc.) ¿Cuál es la razón para procesar esta información? ¿Cómo y por qué recopile esta información? ¿Cómo se protegen estos datos? ¿Los terceros reciben esta información? Si es así, ¿revela a estos destinatarios externos en su política de privacidad u otras formas de notificación? ¿Sabes quiénes son esos terceros? ¿Durante cuánto tiempo conserva la información sobre las personas? Mapeo de la base jurídica: Véanse las 6 bases jurídicas mencionadas anteriormente. Para cada operación de procesamiento identificada en su tarjeta de datos, vincúlala a una base legal. Esta conexión le dará la tarjeta básica legal.
✓Saber cómo respetar a una persona que ejerce sus derechos: Tener la capacidad de usar la información de mapeo de datos para responder a una solicitud de acceso del interesado. Desde la tarjeta de datos, sepa dónde se encuentran los datos personales en su sistema (y si hace referencias cruzadas con otros sistemas) para cumplir con las solicitudes de exclusión, cambio y borrado. Conozca qué formatos de datos utilizan sus sistemas y determine cómo responderá a las solicitudes de portabilidad de datos. Respuestaa datos e incidentes: Cuando hable con sus colegas sobre el lado técnico/de seguridad de la organización, asegúrese de conocer su plan de respuesta a incidentes. Ejecute algunos ejercicios de sobremesa para que todos los involucrados en la respuesta a incidentes sepan qué hacer en caso de un incidente de seguridad. Idealmente, su equipo de respuesta a incidentes es una máquina refinada, lista para ejecutar planes de respuesta a incidentes cuando se presente la situación.
Hay muchos otros elementos que podrían agregarse a esta lista de verificación, y tendrá que trabajar con sus expertos internos y asesores externos para encontrar una lista personalizada basada en sus necesidades. Por ejemplo, es posible que deba realizar evaluaciones de impacto en la protección de datos, designar un responsable de protección de datos, administrar y revisar las prácticas de marketing y otras comunicaciones de la empresa y revisar sus procesos de gestión de proveedores.
Si tiene una base sólida en la asignación de sus actividades de procesamiento de datos, se da una gran ventaja para cualquier problema de cumplimiento DE RGPD posterior que encuentre. A continuación se presentan recursos adicionales que hemos consultado y encontrado útiles, y esperamos que también sean útiles para usted.
Recursos adicionales El RGPD se menciona en muchas ubicaciones diferentes, y es difícil realizar un seguimiento de los buenos recursos disponibles en línea. Aquí hay algunos recursos que estamos buscando para mantenerse al tanto de la evolución del RGPD: Todo comienza con el texto legal: el texto legal completo del RGPD está aquí y la Directiva de Protección de Datos está vinculada aquí.
La Autoridad de Supervisión: Hay una Autoridad de Protección de Datos (DPA) en cada Estado miembro de la UE, y muchas de ellas han publicado directrices útiles sobre la aplicación del RGPD. Puede encontrar una lista de DPA aquí.
Artículo 29 Grupo de Trabajo (WP29), que pronto se convertirá en el Comité Europeo de Protección de Datos (EDPB): El WP29 es un órgano consultivo compuesto por un representante del DPA de cada Estado miembro de la UE, el Contralor Europeo de Protección de Datos y la Comisión Europea. A partir del 25 de mayo de 2018, el WP29 se convertirá en el EDPB. El EDPB incluirá al jefe de un DPA de cada Estado miembro de la UE y el monitor europeo de protección de datos. El WP29 ha publicado cientos de directrices y opiniones y ha abierto varias áreas para la consulta. Las directrices y opiniones más recientes se centran en la mejor manera de implementar los elementos del DMP en la estructura de cumplimiento de una organización. La sala de prensa del WP29 está aquí.
El antiguo sitio web del Grupo de Trabajo 29 tenía muchos recursos adicionales que, por desgracia, ya no son tan fácilmente accesibles con el nuevo diseño del sitio. El sitio web archivado con materiales adicionales está disponible aquí. Algunos DPA, bufetes de abogados, agencias de privacidad como IAPP y muchas otras organizaciones, ONG y empresas organizan eventos relacionados con el RGPD. Es muy probable que otras organizaciones tengan preguntas muy similares a las suyas con respecto a la implementación del RGPD. Estas son grandes oportunidades para llegar a la comunidad RGPD y trabajar juntos en cuestiones.