Guía de cumplimiento del RGPD en azul brillante y azul claro

Las soluciones y los productos de Vanderbilt permiten a los clientes gestionar y procesar los datos personales de forma que cumplan con los requisitos del RGPD. El objetivo de esta guía es ayudar y apoyar a nuestros clientes a evaluar si están preparados para cumplir con sus responsabilidades y obligaciones en virtud de la nueva normativa.

Visión general

La protección de datos es un derecho fundamental por el que toda persona tiene derecho a la protección de los datos personales que le conciernen. El Reglamento General de Protección de Datos (GDPR) entrará en vigor el 25 de mayo de 2018 y está diseñado para dar a las personas un mayor control sobre sus datos personales. Existe un conjunto de normas para toda la UE, que puede complementarse en algunos ámbitos mediante la legislación nacional.

El RGPD impone obligaciones a las empresas u organizaciones que recopilan, utilizan y procesan datos personales. En el centro del GDPR está el requisito de que las organizaciones y las empresas sean totalmente transparentes en cuanto a la forma en que utilizan y protegen los datos personales, y que puedan demostrar su responsabilidad por sus actividades de procesamiento de datos. Dichos datos deben procesarse de manera justa para fines específicos y sobre la base del consentimiento de la persona en cuestión o de alguna otra base legítima establecida por la ley.

Si bien Vanderbilt ofrece a los clientes una funcionalidad de producto flexible e intuitiva para facilitar el cumplimiento de las nuevas regulaciones, la organización de Vanderbilt no recopila, controla, usa ni procesa los datos personales que existen en los productos locales de Vanderbilt. Por lo tanto, el controlador y el procesador de datos personales tienen la función y la responsabilidad de garantizar el cumplimiento de las obligaciones establecidas en el GDPR.

Si tiene alguna duda o no está seguro de la identidad del controlador de datos y/o procesador de datos, en cualquier caso, debe consultar a su asesor legal.

¿Qué son los datos personales?

El término «datos personales» significa cualquier información relacionada con una persona viva que esté identificada o identificable.

Una persona es identificable si puede identificarse directa o indirectamente mediante un «identificador». El GDPR ofrece ejemplos de identificadores, incluidos nombres, números de identificación y datos de ubicación. Una persona también puede ser identificable por referencia a factores que son específicos de su identidad, como los factores físicos, genéticos o culturales.

Los datos personales que han sido anonimizados, cifrados o anonimizados, pero que pueden usarse para volver a identificar a una persona, siguen siendo datos personales y entran dentro del ámbito de aplicación del RGPD. Si los datos personales se han anonimizado de tal manera que la persona ya no es identificable, no se consideran datos personales. Para que los datos sean verdaderamente anónimos, la anonimización debe ser irreversible.

La ley protege los datos personales independientemente de la tecnología o el método utilizado para procesar esos datos; se aplica tanto al procesamiento automático como al manual. Tampoco importa cómo se almacenen los datos personales: en un sistema de TI, mediante videovigilancia o en papel; en todos los casos, los datos personales están sujetos a los requisitos de protección establecidos en el RGPD.

¿Qué constituye el procesamiento de datos?

El procesamiento abarca una amplia gama de operaciones realizadas con datos personales, incluso por medios manuales o automatizados. Incluye la recopilación, el registro, la organización, la estructuración, el almacenamiento, la adaptación o alteración, la recuperación, la consulta, el uso, la divulgación mediante transmisión, difusión o puesta a disposición de cualquier otro modo, la alineación o combinación, la restricción, el borrado o la destrucción de datos personales.

El Reglamento General de Protección de Datos (GDPR) se aplica al procesamiento total o parcial de datos personales por medios automatizados, así como al procesamiento no automatizado, si forma parte de un sistema de archivo estructurado.

¿Soy un controlador de datos o un procesador de datos?

Un controlador de datos es una persona física o jurídica que controla y es responsable del mantenimiento y el uso de la información personal en una computadora o en archivos manuales estructurados. Ser un controlador de datos conlleva sus responsabilidades legales, por lo que debe tener muy claro si estas responsabilidades se aplican a usted o a su organización.

Si usted o su organización controlan y son responsables de los datos personales que posee, es decir, deciden qué información personal se conservará y qué uso se le dará a la información, entonces usted o su organización son responsables del tratamiento de datos.

Algunos ejemplos de casos en los que el responsable del tratamiento de datos es una persona son los médicos generalistas, los farmacéuticos, los políticos y los comerciantes individuales, en los que estas personas conservan información personal sobre sus pacientes, clientes, electores, etc.

Si usted o su organización tienen los datos personales, pero otra persona u organización decide y es responsable de lo que sucede con los datos, entonces esa otra persona u organización es el controlador de datos y usted o su organización son un «procesador de datos».

Entre los ejemplos de procesadores de datos se incluyen las empresas de nómina, los contadores y las empresas de investigación de mercado, todas las cuales podrían almacenar o procesar información personal en nombre de otra persona.

¿Qué es el consentimiento de datos? ¿Debo considerarlo?

Para procesar legalmente los datos personales, las organizaciones y las empresas deben identificar y documentar la base legal para hacerlo desde el principio. Algunas de las formas legales de procesar datos incluyen:

• Consentimiento de la persona: El consentimiento es apropiado si se ofrece a las personas opciones reales y control sobre cómo se utilizan sus datos.
• Intereses vitales: El procesamiento es necesario para proteger los intereses vitales de la persona, por ejemplo, si es necesario para proteger la vida de alguien.
• Cumplimiento que conlleva una obligación legal: Los datos se pueden procesar si, por ejemplo, la legislación de la UE lo exige para un propósito particular.
• Un contrato con la persona: El procesamiento es necesario para la ejecución de un contrato con una persona, por ejemplo, para suministrar bienes o servicios que se han solicitado

Si tiene alguna duda sobre si ha obtenido el consentimiento suficiente para procesar datos personales, debe consultar a su asesor legal.

¿Qué es un contrato de procesamiento de datos? ¿Debo considerarlo?

Si conserva o procesa (introduce, edita, mantiene) datos personales (procesador de datos) en nombre de su cliente (controlador de datos), necesitará un contrato de procesamiento de datos. Recomendamos obtener asesoramiento legal para garantizar de la mejor manera posible que el contrato aborde la seguridad adecuada y otras medidas de protección de datos. Además, recomendamos a los clientes que tengan una lista de verificación sobre el manejo de los datos y la entrega del sistema de seguridad.

Conozca su función y responsabilidad

Está claro que la ley está cambiando al RGPD y esto debe tenerse en cuenta en la planificación del sistema de seguridad. Es necesario identificar y abordar las áreas que pueden causar problemas de cumplimiento en virtud del GDPR. Según el RGPD, las personas tienen derecho a recibir información clara sobre el uso de sus datos.

El primer paso práctico es identificar su función y responsabilidad con respecto al GDPR. ¿Es usted un controlador de datos o un procesador de datos o ambos? Si tiene alguna duda o no está seguro de la identidad del responsable del tratamiento o del procesador de datos, en cualquier caso, debe consultar a su asesor legal.

El segundo paso es rendir cuentas. Tenga en cuenta todos los datos personales que maneja cuando trabaja con el sistema de seguridad y examínelos bajo los siguientes epígrafes:

• ¿Qué datos personales se almacenan?
• ¿Cuál es la base legal en la que se basa el procesamiento de datos personales?
• ¿Dónde se almacenan los datos?
• ¿Cómo se protegen los datos?
• ¿Durante cuánto tiempo se conservan los datos?
• ¿Cuál es la política para gestionar las solicitudes individuales de acceso a los datos?
• ¿Cuál es el proceso si alguien solicita que lo eliminen del sistema?
• ¿Quién tiene acceso a los datos?
• ¿Se transfieren datos personales fuera del EEE?

azul brillante/azul claro y GDPR

La siguiente información describe la funcionalidad del sistema Vanderbilt bright blue/lite blue v5.x en relación con el cumplimiento del RGPD.

¿Qué datos personales se almacenan?

Los únicos datos personales necesarios para el registro del titular de la tarjeta en azul claro/verde claro son el apellido y el identificador de identidad codificado, aunque es probable que se recopilen datos adicionales. El nombre y la inicial del segundo nombre son opcionales. Los campos definibles por el usuario se pueden usar para introducir varios datos personales según los defina el usuario final (cliente).

¿Cuál es la base legal en la que se basa el procesamiento de datos personales?

La base legal sobre la que se obtienen y procesan los datos personales está definida por las políticas y procedimientos del usuario final.

¿Dónde se almacenan los datos?

Los datos se introducen y son propiedad del usuario final y se almacenan localmente en el controlador, o en copias de seguridad y archivos que el usuario final puede guardar en otro lugar y administrar. El sistema no permite duplicar identificaciones codificadas.

¿Cómo se protegen los datos?

El sistema bright/lite blue requiere un inicio de sesión protegido por contraseña para acceder a la base de datos.

Los permisos de acceso se pueden restringir a 3 niveles, por lo que se pueden otorgar derechos a la base de datos según el rol de administrador, gerente y operador.

Vanderbilt no tiene acceso a los datos de los clientes a menos que se le conceda un permiso específico y acceso remoto para recibir asistencia técnica.

¿Durante cuánto tiempo se conservan los datos?

La utilidad de base de datos en azul claro/claro guarda automáticamente 5 copias de seguridad (1 por día) en el controlador. Las copias de seguridad son FIFO y el usuario puede descargarlas y guardarlas en otro lugar si lo desea. Además de las copias de seguridad, los archivos también se almacenan en la placa. Por cada 1 millón de transacciones o eventos de registro, se crea y almacena un archivo. El número máximo de archivos que se pueden almacenar es de 12.

Los registros del titular de la tarjeta y los datos personales asociados se pueden «eliminar» (es decir, marcar para su eliminación u ocultación) del software de inmediato; sin embargo, los datos del titular de la tarjeta no se eliminan por completo hasta que se borra la última transacción asociada (evento de registro). Las transacciones se eliminan cuando la base de datos alcanza el millón de transacciones (y, a continuación, se devuelven a eliminar las 500 000). Los archivos (hasta 12) son FIFO, por lo que la duración del almacenamiento depende del tamaño del sistema y de la actividad del mismo.

¿Cuál es la política para gestionar las solicitudes individuales de acceso a los datos?

Hay informes predefinidos de titulares de tarjetas, acceso y auditoría que pueden ejecutarse e imprimirse y/o exportarse en CSV y visualizarse en formatos estructurados como Excel y PDF.

¿Cuál es el proceso si alguien solicita que lo eliminen del sistema?

Los registros del titular de la tarjeta con los datos personales asociados se pueden eliminar dentro del software. También sería necesario eliminar las copias de seguridad de la base de datos, a menos que hayan transcurrido más de 5 días (por lo que las 5 copias de seguridad diarias ya se sobrescribirían). Se archiva y se puede eliminar o eliminar poniéndose en contacto con el servicio de asistencia técnica de Vanderbilt.

El usuario final tendría que eliminar manualmente los datos personales de cualquier copia de seguridad guardada en otro lugar (fuera del controlador).

¿Quién tiene acceso a los datos?

Estos detalles se definen y controlan de acuerdo con las políticas corporativas específicas y establecidas por cada usuario final. El azul brillante/claro permite eliminar los datos personales del titular de la tarjeta de la base de datos. Las copias de datos son gestionadas por completo por el usuario final una vez guardadas en otro lugar (fuera del control).

¿Se transfieren datos personales fuera del EEE?

Cualquier transferencia de datos sería gestionada e iniciada por el usuario final.