Subscríbase al boletin de noticias de OpenKM para estar informado

Cómo el RGPD podría afectar la recopilación de datos de clientes en su empresa

Escrito por Ricardo Álvarez, miembro del personal de OpenKM USA en noviembre 20, 2020

El objetivo principal del Reglamento General de Protección de Datos es garantizar la capacidad de cada individuo para controlar quién recopila y procesa sus datos, para qué se utilizan y garantiza que se manejan de la manera más segura posible. Suponga que su empresa estadounidense tiene que gestionar datos de sujetos en la Unión Europea. En ese caso, su empresa debe cumplir con todos los requisitos de RGPD para empresas estadounidenses.

 El seguimiento detallado de la ubicación constante de su cliente es prácticamente imposible, y en su mayoría innecesario, para empresas de personal más grandes e incluso para algunas más pequeñas; por lo tanto, las empresas con sede en los EE. UU. están mejor asumiendo que tienen que cumplir con todos los requisitos de la ley RGPD.

Requisitos del RGPD

Vale la pena señalar que existen varias reglas del RGPD que solo se aplican en escenarios particulares, y debe consultar con un experto para asegurarse de que su empresa cumpla con el RGPD. Sin más preámbulos, estos son los principales requisitos que deben cumplir todas las organizaciones para cumplir con el RGPD:

Auditoría de Información

Mantener una auditoría de la información que indique las finalidades y detalles del tratamiento de los datos. Sea específico sobre el tipo de datos que procesa, quién tiene acceso a ellos, incluidos los terceros, sus sistemas de protección de datos actuales, e indique el ciclo de vida de los datos de sus usuarios, incluso cuándo su empresa planea borrarlos.

Política de Privacidad

De acuerdo con el artículo 12 del GDPR, debe tener una política de privacidad pública que indique los motivos de la recopilación de datos. En esta política, debe abordar el propósito de la captura de datos, cómo se procesan los datos, quién tiene acceso a ellos y las medidas de seguridad que utiliza para mantenerlos seguros. Esta información debe ser lo más transparente posible y debe presentarse en el momento exacto en que desea recopilar los datos del usuario.

Derechos de Datos del Usuario

Los usuarios tienen una gran cantidad de derechos sobre los datos que almacena sobre ellos, pero los derechos principales del usuario son los siguientes:

1. Información para el Usuario

Los usuarios tienen derecho a saber qué datos personales tiene sobre ellos, cómo los usa, cuánto tiempo planea almacenarlos y la razón para conservarlos durante ese período de tiempo.

2. Actualización de Datos del Usuario

Los usuarios pueden solicitar actualizaciones de su información personal en cualquier momento. Debe presentar un sistema transparente para actualizar sus datos de manera precisa y segura.

3. Eliminación de datos del Usuario

Los usuarios pueden solicitar la eliminación total o parcial de la información personal que tenga de ellos. Solo hay algunas excepciones en las que puede rechazar la solicitud, que debe abordar con un experto legal.

En general, debe establecer una línea de comunicación clara que le permita cumplir con cada solicitud en un mes, y debe asegurarse de verificar que la identidad del usuario sea correcta.

Medidas de Protección de Datos

Implementar las medidas técnicas necesarias para garantizar la protección de datos en todas las etapas. Estas medidas incluyen el cifrado de archivos, los estándares organizacionales, la limitación de la cantidad de datos personales recopilados, la capacitación de los empleados para la administración de documentos, el establecimiento de ciclos de vida de los datos y la aplicación de la eliminación manual o automatizada de datos cuando ya no son útiles. Puede abordar la mayoría de estos procedimientos de protección técnica utilizando un software de gestión de documentos seguro.

Sistema de Notificación de Brechas de Seguridad

De acuerdo con el artículo 33 del RGPD, si observa una violación de datos que compromete a alguna de las entidades cubiertas por la ley del RGPD, debe notificar a una autoridad supervisora dentro de las 72 horas. No hay información específica sobre qué autoridad alcanzar para las organizaciones no basadas en la UE.

Puede ser conveniente que las empresas estadounidenses notifiquen a la Oficina del Comisionado de Protección de Datos en Irlanda debido a la similitud del idioma. También debe comunicar las violaciones de datos a sus interesados, a menos que sea poco probable que la violación de seguridad los ponga en riesgo.

Acuerdos de Procesamiento de Datos

Debe firmar un acuerdo de procesamiento de datos con cualquier servicio de terceros que maneje la información de sus interesados. Existen múltiples acuerdos estándar en línea, que describen los derechos y obligaciones de cada parte bajo el cumplimiento de GDPR, pero los detalles deben abordarse en cada escenario.

Delegado de Protección de Datos

Finalmente, debe asegurarse de que haya una persona a cargo del cumplimiento de GDPR. Esto garantiza la capacidad de su empresa para evaluar sus políticas, procedimientos y estado de protección de datos y hace cumplir la responsabilidad por la seguridad de los documentos.

Conceptos Clave del RGPD

Los siguientes conceptos son cruciales para comprender cómo la ley GDPR afecta su negocio.

Para obtener más información, visite nuestro esquema general del Reglamento general de protección de datos de la Unión Europea y nuestra Guía GDPR para empresas.

¿Qué es el Procesamiento de Datos?

Recopilar, registrar, organizar, estructurar, almacenar, adaptar, alterar, recuperar, consultar, usar, divulgar, borrar o destruir datos personales de los interesados se considera un proceso de datos. En otras palabras, el uso de datos de cualquier cliente se considera procesamiento de datos y debe estar cubierto por las regulaciones de protección de datos.

¿Quién es el Procesador de Datos?

La persona física o jurídica, autoridad pública, agencia, o cualquier persona que procese datos personales en nombre del responsable del tratamiento.

¿Quiénes son los Sujetos de los Datos?

El Reglamento general de protección de datos define a los interesados como cualquier "persona física identificada o identificable" (1). En otras palabras, los principios de protección de datos se aplican a todas las empresas que tratan con información de ciudadanos de la UE y a cualquier ciudadano de fuera de la UE que viva o viaje a la UE.

¿Quién es el Controlador de Datos?

El controlador de datos es la entidad que determina los propósitos, condiciones y medios del procesamiento de datos personales. En otras palabras, los responsables del tratamiento son aquellos que eligen las razones específicas detrás de cada recopilación, uso y forma de procesar esta información, independientemente de si lo hacen ellos mismos o no.

Conclusión

Comprender los conceptos básicos de la protección de datos y la privacidad no requiere un especialista en GDPR y, sin duda, le ahorrará muchos problemas y tal vez incluso lo ayude a mejorar la forma en que comprende e interactúa con sus clientes.

No existe una herramienta específica que sea necesaria para cumplir con las leyes GDPR. Sin embargo, el uso de un Software de Manejo Documental puede ayudar a su organización a establecer algunas reglas de control de documentos, límites de acceso a datos, procesos automatizados y procedimientos estandarizados para la gestión de documentos, a fin de reducir sus riesgos de violaciones de datos. En resumen, la implementación de un software de gestión de documentos para manejar los documentos de su empresa puede garantizar que su organización proteja activamente los datos de sus clientes y le ayude a evitar multas por incumplimiento de normas.