Guía de cumplimiento del RGPD de Entro

Download
This is some text inside of a div block.

Guía de cumplimiento del RGPD de Entro

Las soluciones y los productos de Vanderbilt permiten a los clientes gestionar y procesar los datos personales de forma que cumplan con los requisitos del RGPD. El objetivo de esta guía es ayudar y apoyar a nuestros clientes a evaluar si están preparados para cumplir con sus responsabilidades y obligaciones en virtud de la nueva normativa.

Visión general

La protección de datos es un derecho fundamental por el que toda persona tiene derecho a la protección de los datos personales que le conciernen. El Reglamento General de Protección de Datos (GDPR) entrará en vigor el 25 de mayo de 2018 y está diseñado para dar a las personas un mayor control sobre sus datos personales. Existe un conjunto de normas para toda la UE, que puede complementarse en algunos ámbitos mediante la legislación nacional.

El RGPD impone obligaciones a las empresas u organizaciones que recopilan, utilizan y procesan datos personales. En el centro del GDPR está el requisito de que las organizaciones y las empresas sean totalmente transparentes en cuanto a la forma en que utilizan y protegen los datos personales, y que puedan demostrar su responsabilidad por sus actividades de procesamiento de datos. Estos datos deben procesarse de manera justa para fines específicos y sobre la base del consentimiento de la persona en cuestión o de alguna otra base legítima establecida por la ley.

Si bien Vanderbilt ofrece a los clientes una funcionalidad de producto flexible e intuitiva para facilitar el cumplimiento de las nuevas regulaciones, la organización Vanderbilt no recopila, controla, usa ni procesa los datos personales que existen en los productos locales de Vanderbilt. Por lo tanto, el controlador y el procesador de datos personales tienen la función y la responsabilidad de garantizar el cumplimiento de las obligaciones establecidas en el RGPD.

Si tiene alguna duda o no está seguro de la identidad del controlador de datos y/o procesador de datos, en cualquier caso, debe consultar a su asesor legal.

¿Qué son los datos personales?

El término «datos personales» significa cualquier información relacionada con una persona viva que esté identificada o identificable.

Una persona es identificable si puede identificarse directa o indirectamente mediante un «identificador». El GDPR ofrece ejemplos de identificadores, incluidos nombres, números de identificación y datos de ubicación. Una persona también puede ser identificable por referencia a factores que son específicos de su identidad, como los factores físicos, genéticos o culturales.

Los datos personales que han sido anonimizados, cifrados o anonimizados, pero que pueden utilizarse para volver a identificar a una persona, siguen siendo datos personales y entran en el ámbito de aplicación del RGPD. Si los datos personales se han anonimizado de tal manera que la persona ya no es identificable, no se consideran datos personales. Para que los datos sean verdaderamente anónimos, la anonimización debe ser irreversible.

La ley protege los datos personales independientemente de la tecnología o el método utilizado para procesar esos datos; se aplica tanto al procesamiento automático como al manual. Tampoco importa cómo se almacenen los datos personales: en un sistema de TI, mediante videovigilancia o en papel; en todos los casos, los datos personales están sujetos a los requisitos de protección establecidos en el RGPD.

¿Qué constituye el procesamiento de datos?

El procesamiento abarca una amplia gama de operaciones realizadas con datos personales, incluso por medios manuales o automatizados. Incluye la recopilación, el registro, la organización, la estructuración, el almacenamiento, la adaptación o alteración, la recuperación, la consulta, el uso, la divulgación mediante transmisión, difusión o puesta a disposición de cualquier otro modo, la alineación o combinación, la restricción, el borrado o la destrucción de datos personales.

El Reglamento General de Protección de Datos (GDPR) se aplica al procesamiento total o parcial de datos personales por medios automatizados, así como al procesamiento no automatizado, si forma parte de un sistema de archivo estructurado.

¿Soy un controlador de datos o un procesador de datos?

Un controlador de datos es una persona física o jurídica que controla y es responsable del mantenimiento y el uso de la información personal en una computadora o en archivos manuales estructurados. Ser responsable del tratamiento de datos conlleva sus responsabilidades legales, por lo que debe tener muy claro si estas responsabilidades se aplican a usted o a su organización.

Si usted o su organización controlan y son responsables de los datos personales que posee, es decir, deciden qué información personal se conservará y qué uso se le dará a la información, entonces usted o su organización son responsables del tratamiento de datos.

Algunos ejemplos de casos en los que el responsable del tratamiento de datos es una persona son los médicos generalistas, los farmacéuticos, los políticos y los comerciantes individuales, en los que estas personas conservan información personal sobre sus pacientes, clientes, electores, etc.

Si usted o su organización tienen los datos personales, pero otra persona u organización decide y es responsable de lo que sucede con los datos, entonces esa otra persona u organización es el controlador de datos y usted o su organización son un «procesador de datos».

Entre los ejemplos de procesadores de datos se incluyen las empresas de nómina, los contadores y las empresas de investigación de mercado, todas las cuales podrían almacenar o procesar información personal en nombre de otra persona.

¿Qué es el consentimiento de datos? ¿Debo considerarlo?

Para procesar legalmente los datos personales, las organizaciones y las empresas deben identificar y documentar la base legal para hacerlo desde el principio. Algunas de las formas legales de procesar datos incluyen:

  • Consentimiento de la persona: El consentimiento es apropiado si se ofrece a las personas opciones reales y control sobre cómo se utilizan sus datos.
  • Intereses vitales: El procesamiento es necesario para proteger los intereses vitales de la persona, por ejemplo, si es necesario para proteger la vida de alguien.
  • Cumplimiento que conlleva una obligación legal: Los datos se pueden procesar si, por ejemplo, la legislación de la UE lo exige para un propósito particular.
  • Un contrato con la persona: El procesamiento es necesario para la ejecución de un contrato con una persona, por ejemplo, para suministrar bienes o servicios que se han solicitado

Si tiene alguna duda sobre si ha obtenido el consentimiento suficiente para procesar datos personales, debe consultar a su asesor legal.

¿Qué es un contrato de procesamiento de datos? ¿Debo considerarlo?

Si conserva o procesa (introduce, edita, mantiene) datos personales (procesador de datos) en nombre de su cliente (controlador de datos), necesitará un contrato de procesamiento de datos. Recomendamos obtener asesoramiento legal para garantizar de la mejor manera posible que el contrato aborde la seguridad adecuada y otras medidas de protección de datos. Además, recomendamos a los clientes que tengan una lista de verificación sobre el manejo de los datos y la entrega del sistema de seguridad.

Conozca su función y responsabilidad

Está claro que la ley está cambiando al RGPD y esto debe tenerse en cuenta en la planificación del sistema de seguridad. Es necesario identificar y abordar las áreas que pueden causar problemas de cumplimiento en virtud del GDPR. Según el RGPD, las personas tienen derecho a recibir información clara sobre el uso de sus datos.

El primer paso práctico es identificar su función y responsabilidad con respecto al GDPR. ¿Es usted un controlador de datos o un procesador de datos o ambos? Si tiene alguna duda o no está seguro de la identidad del responsable del tratamiento o del procesador de datos, en cualquier caso, debe consultar a su asesor legal.

El segundo paso es rendir cuentas. Tenga en cuenta todos los datos personales que maneja cuando trabaja con el sistema de seguridad y examínelos bajo los siguientes epígrafes:

  • ¿Qué datos personales se almacenan?
  • ¿Cuál es la base legal en la que se basa el procesamiento de datos personales?
  • ¿Dónde se almacenan los datos?
  • ¿Cómo se protegen los datos?
  • ¿Durante cuánto tiempo se conservan los datos?
  • ¿Cuál es la política para gestionar las solicitudes individuales de acceso a los datos?
  • ¿Cuál es el proceso si alguien solicita que lo eliminen del sistema?
  • ¿Quién tiene acceso a los datos?
  • ¿Se transfieren datos personales fuera del EEE?

Entro y GDPR

La siguiente información describe cómo se puede utilizar el sistema V6.7 de Vanderbilt Entro para facilitar el cumplimiento del RGPD.

¿Qué datos personales se almacenan?

La recopilación de datos personales no es obligatoria en Entro, aunque tiene la capacidad de almacenar algunos campos definibles por el usuario, que podrían usarse para almacenar datos personales.

¿Cuál es la base legal en la que se basa el procesamiento de datos personales?

La entrada de datos y el mantenimiento de los datos están controlados por el controlador de datos y el procesador de datos del sitio. Como tal, es responsabilidad del controlador de datos y/o del procesador de datos garantizar que se obtenga la base legal para el procesamiento de los datos personales.

No hay procedimientos explícitos integrados en el software Entro para obtener el consentimiento del usuario o registrarlo.

¿Dónde se almacenan los datos?

Los datos se almacenan tanto en el PC como en los controladores Entro, y todos los datos almacenados en el PC se replican en el controlador. Básicamente, para cada controlador del sistema hay otra copia de seguridad completa de la base de datos, que se puede guardar en el PC. Comunicaciones IP entre el PC y el SR, y el SR -> SR está cifrado con RC4.

¿Cómo se protegen los datos?

La base de datos tiene un formato personalizado y las herramientas de análisis de bases de datos convencionales, como SQL Management Studio, etc. Solo es posible ver el contenido de una base de datos a través del software Entro, cuando se tiene la combinación correcta de número de serie, nombre del sistema y credenciales de inicio de sesión válidas.

Existe una herramienta que permite recuperar el nombre/número de serie del sistema y la información de inicio de sesión, pero el acceso a ella está restringido. La base de datos en sí misma utiliza un protocolo de cifrado personalizado para protegerla cuando se almacena en el PC.

¿Durante cuánto tiempo se conservan los datos?

Los datos del usuario se conservan en el sistema Entro hasta que el administrador del sistema los elimine. Es responsabilidad del administrador del sistema comunicar de forma transparente el período de retención de los datos. Cuando se elimina una tarjeta del sistema, la tarjeta deja de ser válida de inmediato. Sin embargo, la información de usuario asociada se conservará en la base de datos de Entro durante 3 semanas más, tras lo cual se eliminará automáticamente de la base de datos.

Los datos de los eventos se conservan mientras la configuración sea para la retención de eventos o si se realiza una solicitud específica para eliminar datos personales de los registros de eventos. Esta retención de datos de eventos se realiza por usuario del software y, por lo tanto, para cada usuario del software, existirá un conjunto de archivos de eventos.

¿Cuál es la política para gestionar las solicitudes individuales de acceso a los datos?

Si se realiza una solicitud, es responsabilidad del controlador de datos y/o los procesadores de datos describir la política y proporcionar los datos de manera oportuna de acuerdo con las regulaciones del GDPR.

Es posible filtrar los eventos celebrados en el sistema Entro para ver qué datos individuales se guardan sobre una persona, por ejemplo, los eventos de registro recientes o la información relacionada con su registro individual. Estos datos se pueden exportar en un formato estándar, como CSV.

¿Cuál es el proceso si alguien solicita que lo eliminen del sistema?

Si se realiza una solicitud, es responsabilidad del controlador de datos y/o los procesadores de datos describir la política y eliminar los datos de manera oportuna de acuerdo con las regulaciones del GDPR.

Los datos del titular de la tarjeta se pueden eliminar manualmente del sistema Entro, previa solicitud. Sin embargo, la eliminación de un titular de la tarjeta no borrará sus eventos asociados. Esto se conservará mientras la configuración sea para la retención de eventos o si se realiza una solicitud específica para eliminar datos personales de los registros de eventos.

¿Quién tiene acceso a los datos?

Es responsabilidad del controlador de datos y/o del procesador de datos revelar quién tiene acceso a los datos personales en el sistema Entro instalado en el sitio. Entro tiene la capacidad de definir diferentes inicios de sesión de usuario en el software del cliente. Hay diferentes niveles de inicio de sesión disponibles. Vanderbilt no tiene acceso ni capacidad para procesar datos personales en un sistema Entro local.

¿Se transfieren datos personales fuera del EEE?

En el modo operativo normal, los datos de usuario de Entro no se comparten fuera del sistema. Es responsabilidad del controlador de datos y/o del procesador de datos revelar si el sistema está configurado de manera que transfiera datos fuera del EEE.

Hombre con camisa blanca sonriendo y mirando hacia abajo.
Conéctese con nuestro equipo para explorar soluciones escalables y preparadas para el futuro diseñadas para proteger a su personal, sus instalaciones y sus datos.

Aseguremos lo que viene, juntos.

Conéctese con nuestro equipo para explorar soluciones escalables y preparadas para el futuro diseñadas para proteger a su personal, sus instalaciones y sus datos.
Hable con nuestro equipo
This is some text inside of a div block.
Perfectamente integrado
Plataforma preparada para el futuro
Diseñado para elegir
Con la confianza de las empresas de Fortune 500