¡Acceda a él! Guía de cumplimiento del RGPD

Las soluciones y los productos de Acre permiten a los clientes administrar y procesar los datos personales de manera que cumplan con los requisitos del GDPR. El objetivo de esta guía es ayudar y apoyar a nuestros clientes a evaluar si están preparados para cumplir con sus responsabilidades y obligaciones en virtud de la nueva normativa.

Visión general

La protección de datos es un derecho fundamental por el que toda persona tiene derecho a la protección de los datos personales que le conciernen. El Reglamento General de Protección de Datos (GDPR) entrará en vigor el 25 de mayo de 2018 y está diseñado para dar a las personas un mayor control sobre sus datos personales. Existe un conjunto de normas para toda la UE, que puede complementarse en algunos ámbitos mediante la legislación nacional.

El RGPD impone obligaciones a las empresas u organizaciones que recopilan, utilizan y procesan datos personales. En el centro del GDPR está el requisito de que las organizaciones y las empresas sean totalmente transparentes en cuanto a la forma en que utilizan y protegen los datos personales, y que puedan demostrar su responsabilidad por sus actividades de procesamiento de datos. Estos datos deben procesarse de manera justa para fines específicos y sobre la base del consentimiento de la persona en cuestión o de alguna otra base legítima establecida por la ley.

Si bien Acre ofrece a los clientes una funcionalidad de producto flexible e intuitiva para facilitar el cumplimiento de las nuevas regulaciones, la organización Acre no recopila, controla, usa ni procesa los datos personales que existen en los productos locales de Acre. Por lo tanto, el controlador y el procesador de datos personales tienen la función y la responsabilidad de garantizar el cumplimiento de las obligaciones establecidas en el RGPD.

Si tiene alguna duda o no está seguro de la identidad del controlador de datos y/o procesador de datos, en cualquier caso, debe consultar a su asesor legal.

¿Qué son los datos personales?

El término «datos personales» significa cualquier información relacionada con una persona viva que esté identificada o identificable.

Una persona es identificable si puede identificarse directa o indirectamente mediante un «identificador». El GDPR ofrece ejemplos de identificadores, incluidos nombres, números de identificación y datos de ubicación. Una persona también puede ser identificable por referencia a factores que son específicos de su identidad, como los factores físicos, genéticos o culturales.

Los datos personales que han sido anonimizados, cifrados o anonimizados, pero que pueden utilizarse para volver a identificar a una persona, siguen siendo datos personales y entran en el ámbito de aplicación del RGPD. Si los datos personales se han anonimizado de tal manera que la persona ya no es identificable, no se consideran datos personales. Para que los datos sean verdaderamente anónimos, la anonimización debe ser irreversible.

La ley protege los datos personales independientemente de la tecnología o el método utilizado para procesar esos datos; se aplica tanto al procesamiento automático como al manual. Tampoco importa cómo se almacenen los datos personales: en un sistema de TI, mediante videovigilancia o en papel; en todos los casos, los datos personales están sujetos a los requisitos de protección establecidos en el RGPD.

¿Qué constituye el procesamiento de datos?

El procesamiento abarca una amplia gama de operaciones realizadas con datos personales, incluso por medios manuales o automatizados. Incluye la recopilación, el registro, la organización, la estructuración, el almacenamiento, la adaptación o alteración, la recuperación, la consulta, el uso, la divulgación mediante transmisión, difusión o puesta a disposición de cualquier otro modo, la alineación o combinación, la restricción, el borrado o la destrucción de datos personales.

El Reglamento General de Protección de Datos (GDPR) se aplica al procesamiento total o parcial de datos personales por medios automatizados, así como al procesamiento no automatizado, si forma parte de un sistema de archivo estructurado.

¿Soy un controlador de datos o un procesador de datos?

Un controlador de datos es una persona física o jurídica que controla y es responsable del mantenimiento y el uso de la información personal en una computadora o en archivos manuales estructurados. Ser responsable del tratamiento de datos conlleva sus responsabilidades legales, por lo que debe tener muy claro si estas responsabilidades se aplican a usted o a su organización.

Si usted o su organización controlan y son responsables de los datos personales que posee, es decir, deciden qué información personal se conservará y qué uso se le dará a la información, entonces usted o su organización son responsables del tratamiento de datos.

Algunos ejemplos de casos en los que el responsable del tratamiento de datos es una persona son los médicos generalistas, los farmacéuticos, los políticos y los comerciantes individuales, en los que estas personas conservan información personal sobre sus pacientes, clientes, electores, etc.

Si usted o su organización tienen los datos personales, pero otra persona u organización decide y es responsable de lo que sucede con los datos, entonces esa otra persona u organización es el controlador de datos y usted o su organización son un «procesador de datos».

Entre los ejemplos de procesadores de datos se incluyen las empresas de nómina, los contadores y las empresas de investigación de mercado, todas las cuales podrían almacenar o procesar información personal en nombre de otra persona.

¿Qué es el consentimiento de datos? ¿Debo considerarlo?

Para procesar legalmente los datos personales, las organizaciones y las empresas deben identificar y documentar la base legal para hacerlo desde el principio. Algunas de las formas legales de procesar datos incluyen:

• Consentimiento de la persona: El consentimiento es apropiado si se ofrece a las personas opciones reales y control sobre cómo se utilizan sus datos.
• Intereses vitales: El procesamiento es necesario para proteger los intereses vitales de la persona, por ejemplo, si es necesario para proteger la vida de alguien.
• Cumplimiento que conlleva una obligación legal: Los datos se pueden procesar si, por ejemplo, la legislación de la UE lo exige para un propósito particular.
• Un contrato con la persona: El procesamiento es necesario para la ejecución de un contrato con una persona, por ejemplo, para suministrar bienes o servicios que se han solicitado

Si tiene alguna duda sobre si ha obtenido el consentimiento suficiente para procesar datos personales, debe consultar a su asesor legal.

¿Qué es un contrato de procesamiento de datos? ¿Debo considerarlo?

Si conserva o procesa (introduce, edita, mantiene) datos personales (procesador de datos) en nombre de su cliente (controlador de datos), necesitará un contrato de procesamiento de datos. Recomendamos obtener asesoramiento legal para garantizar de la mejor manera posible que el contrato aborde la seguridad adecuada y otras medidas de protección de datos. Además, recomendamos a los clientes que tengan una lista de verificación sobre el manejo de los datos y la entrega del sistema de seguridad.

Conozca su función y responsabilidad

Está claro que la ley está cambiando al RGPD y esto debe tenerse en cuenta en la planificación del sistema de seguridad. Es necesario identificar y abordar las áreas que pueden causar problemas de cumplimiento en virtud del GDPR. Según el RGPD, las personas tienen derecho a recibir información clara sobre el uso de sus datos.

El primer paso práctico es identificar su función y responsabilidad con respecto al GDPR. ¿Es usted un controlador de datos o un procesador de datos o ambos? Si tiene alguna duda o no está seguro de la identidad del responsable del tratamiento o del procesador de datos, en cualquier caso, debe consultar a su asesor legal.

El segundo paso es rendir cuentas. Tenga en cuenta todos los datos personales que maneja cuando trabaja con el sistema de seguridad y examínelos bajo los siguientes epígrafes:

• ¿Qué datos personales se almacenan?
• ¿Cuál es la base legal en la que se basa el procesamiento de datos personales?
• ¿Dónde se almacenan los datos?
• ¿Cómo se protegen los datos?
• ¿Durante cuánto tiempo se conservan los datos?
• ¿Cuál es la política para gestionar las solicitudes individuales de acceso a los datos?
• ¿Cuál es el proceso si alguien solicita que lo eliminen del sistema?
• ¿Quién tiene acceso a los datos?
• ¿Se transfieren datos personales fuera del EEE?

¡Accede a él! Y GDPR

La siguiente información describe cómo Acre AccessIt! el sistema se puede utilizar para facilitar el cumplimiento del GDPR.

¿Qué datos personales se almacenan?

No es obligatorio almacenar ningún dato personal para que AccessIt! el sistema funcione correctamente.

La imagen, el nombre, la dirección de correo electrónico y el número de teléfono son campos predefinidos en el sistema, pero los campos definibles por el usuario se pueden usar para introducir varios datos personales.

¿Cuál es la base legal en la que se basa el procesamiento de datos personales?

La entrada de datos y el mantenimiento de los datos están controlados por el controlador de datos y el procesador de datos del sitio. Como tal, es responsabilidad del controlador de datos y/o del procesador de datos garantizar que se obtenga la base legal para el procesamiento de los datos personales.

No hay procedimientos explícitos integrados en AccessIt! software para obtener el consentimiento del usuario o grabarlo.

¿Dónde se almacenan los datos?

Los datos se almacenan en AccessIt! base de datos ubicada en el servidor y en copias de seguridad. Es posible que haya algunos datos personales almacenados en los controladores del sistema (nombres), pero el propietario del sistema puede desactivarlos.

¿Cómo se protegen los datos?

Para acceder al contenido de AccessIt! base de datos, se utiliza el software cliente. El inicio de sesión y el software están protegidos por una contraseña.

No ciframos los datos personales. El usuario final puede optar por aplicar el cifrado por sí mismo, a nivel de base de datos (SQL Server o SQL Compact).

El personal de Acre no tiene acceso al sistema del cliente a menos que se lo autorice mediante un inicio de sesión remoto.

¿Durante cuánto tiempo se conservan los datos?

En AccessIt! , los datos del titular de la tarjeta se conservan mientras la persona necesite una tarjeta. Se pueden definir las fechas de finalización de la validez de la tarjeta, pero es el usuario del sistema quien debe organizar la eliminación de los datos del titular de la tarjeta cuando caduquen. Acre ofrece un informe de caducidad de las tarjetas para facilitar este proceso.

Tenemos una función para purgar los eventos de registro que tienen más de un período de meses establecido, que el usuario puede personalizar. De forma predeterminada, los eventos se mantienen a perpetuidad.

Al eliminar un titular de la tarjeta, el sistema no elimina, de forma predeterminada, sus eventos de registro relacionados. Sin embargo, esto se puede cambiar para eliminar los eventos del registro al eliminar al usuario.

¿Cuál es la política para gestionar las solicitudes individuales de acceso a los datos?

Si se realiza una solicitud, es responsabilidad del controlador de datos y/o los procesadores de datos describir la política y proporcionar los datos de manera oportuna de acuerdo con las regulaciones del GDPR.

Hay varios informes disponibles en AccessIt! para detallar la información que se tiene sobre una persona, como los eventos de registro recientes, incluida la forma de exportar esos datos a informes PDF o archivos CSV estándar.

¿Cuál es el proceso si alguien solicita que lo eliminen del sistema?

Si se realiza una solicitud, es responsabilidad del controlador de datos y/o los procesadores de datos describir la política y eliminar los datos de manera oportuna de acuerdo con las regulaciones del GDPR.

Los datos del titular de la tarjeta se pueden eliminar manualmente de AccessIt! sistema por parte del usuario final. De forma predeterminada, el sistema no elimina los datos de eventos de registro asociados. Sin embargo, hay una configuración que puede cambiar este valor predeterminado para que los eventos de registro de los usuarios eliminados también se eliminen con ellos.

¿Quién tiene acceso a los datos?

Es responsabilidad del controlador de datos y/o del procesador de datos revelar quién tiene acceso a los datos personales en AccessIT! sistema instalado en el sitio. El controlador de datos y/o el procesador de datos es responsable de crear y hacer cumplir estos procesos.

¡Accede a él! tiene un sistema para conceder derechos sobre el software cliente a personas específicas. Se auditan todos los accesos al sistema, incluidos los inicios de sesión, los cambios en los datos de los usuarios y las acciones.

¿Se transfieren datos personales fuera del EEE?

En modo operativo normal, AccessIt! los datos del usuario no se comparten fuera del sistema. Es responsabilidad del controlador de datos y/o del procesador de datos revelar si el sistema está configurado de manera que transfiera datos fuera del EEE.