Guía de cumplimiento del RGPD de Granta
Guía de cumplimiento del RGPD de Granta
Las soluciones y los productos de Vanderbilt permiten a los clientes gestionar y procesar los datos personales de forma que cumplan con los requisitos del RGPD. El objetivo de esta guía es ayudar y apoyar a nuestros clientes a evaluar si están preparados para cumplir con sus responsabilidades y obligaciones en virtud de la nueva normativa.
Visión general
La protección de datos es un derecho fundamental por el que toda persona tiene derecho a la protección de los datos personales que le conciernen. El Reglamento General de Protección de Datos (GDPR) entrará en vigor el 25 de mayo de 2018 y está diseñado para dar a las personas un mayor control sobre sus datos personales. Existe un conjunto de normas para toda la UE, que puede complementarse en algunos ámbitos mediante la legislación nacional.
El RGPD impone obligaciones a las empresas u organizaciones que recopilan, utilizan y procesan datos personales. En el centro del GDPR está el requisito de que las organizaciones y las empresas sean totalmente transparentes en cuanto a la forma en que utilizan y protegen los datos personales, y que puedan demostrar su responsabilidad por sus actividades de procesamiento de datos. Estos datos deben procesarse de manera justa para fines específicos y sobre la base del consentimiento de la persona en cuestión o de alguna otra base legítima establecida por la ley.
Si bien Vanderbilt ofrece a los clientes una funcionalidad de producto flexible e intuitiva para facilitar el cumplimiento de las nuevas regulaciones, la organización Vanderbilt no recopila, controla, usa ni procesa los datos personales que existen en los productos locales de Vanderbilt. Por lo tanto, el controlador y el procesador de datos personales tienen la función y la responsabilidad de garantizar el cumplimiento de las obligaciones establecidas en el RGPD.
Si tiene alguna duda o no está seguro de la identidad del controlador de datos y/o procesador de datos, en cualquier caso, debe consultar a su asesor legal.
¿Qué son los datos personales?
El término «datos personales» significa cualquier información relacionada con una persona viva que esté identificada o identificable.
Una persona es identificable si puede identificarse directa o indirectamente mediante un «identificador». El GDPR ofrece ejemplos de identificadores, incluidos nombres, números de identificación y datos de ubicación. Una persona también puede ser identificable por referencia a factores que son específicos de su identidad, como los factores físicos, genéticos o culturales.
Los datos personales que han sido anonimizados, cifrados o anonimizados, pero que pueden utilizarse para volver a identificar a una persona, siguen siendo datos personales y entran en el ámbito de aplicación del RGPD. Si los datos personales se han anonimizado de tal manera que la persona ya no es identificable, no se consideran datos personales. Para que los datos sean verdaderamente anónimos, la anonimización debe ser irreversible.
La ley protege los datos personales independientemente de la tecnología o el método utilizado para procesar esos datos; se aplica tanto al procesamiento automático como al manual. Tampoco importa cómo se almacenen los datos personales: en un sistema de TI, mediante videovigilancia o en papel; en todos los casos, los datos personales están sujetos a los requisitos de protección establecidos en el RGPD.
¿Qué constituye el procesamiento de datos?
El procesamiento abarca una amplia gama de operaciones realizadas con datos personales, incluso por medios manuales o automatizados. Incluye la recopilación, el registro, la organización, la estructuración, el almacenamiento, la adaptación o alteración, la recuperación, la consulta, el uso, la divulgación mediante transmisión, difusión o puesta a disposición de cualquier otro modo, la alineación o combinación, la restricción, el borrado o la destrucción de datos personales.
El Reglamento General de Protección de Datos (GDPR) se aplica al procesamiento total o parcial de datos personales por medios automatizados, así como al procesamiento no automatizado, si forma parte de un sistema de archivo estructurado.
¿Soy un controlador de datos o un procesador de datos?
Un controlador de datos es una persona física o jurídica que controla y es responsable del mantenimiento y el uso de la información personal en una computadora o en archivos manuales estructurados. Ser responsable del tratamiento de datos conlleva sus responsabilidades legales, por lo que debe tener muy claro si estas responsabilidades se aplican a usted o a su organización.
Si usted o su organización controlan y son responsables de los datos personales que posee, es decir, deciden qué información personal se conservará y qué uso se le dará a la información, entonces usted o su organización son responsables del tratamiento de datos.
Algunos ejemplos de casos en los que el responsable del tratamiento de datos es una persona son los médicos generalistas, los farmacéuticos, los políticos y los comerciantes individuales, en los que estas personas conservan información personal sobre sus pacientes, clientes, electores, etc.
Si usted o su organización tienen los datos personales, pero otra persona u organización decide y es responsable de lo que sucede con los datos, entonces esa otra persona u organización es el controlador de datos y usted o su organización son un «procesador de datos».
Entre los ejemplos de procesadores de datos se incluyen las empresas de nómina, los contadores y las empresas de investigación de mercado, todas las cuales podrían almacenar o procesar información personal en nombre de otra persona.
¿Qué es el consentimiento de datos? ¿Debo considerarlo?
Para procesar legalmente los datos personales, las organizaciones y las empresas deben identificar y documentar la base legal para hacerlo desde el principio. Algunas de las formas legales de procesar datos incluyen:
- Consentimiento de la persona: El consentimiento es apropiado si se ofrece a las personas opciones reales y control sobre cómo se utilizan sus datos.
- Intereses vitales: El procesamiento es necesario para proteger los intereses vitales de la persona, por ejemplo, si es necesario para proteger la vida de alguien.
- Cumplimiento que conlleva una obligación legal: Los datos se pueden procesar si, por ejemplo, la legislación de la UE lo exige para un propósito particular.
- Un contrato con la persona: El procesamiento es necesario para la ejecución de un contrato con una persona, por ejemplo, para suministrar bienes o servicios que se han solicitado
Si tiene alguna duda sobre si ha obtenido el consentimiento suficiente para procesar datos personales, debe consultar a su asesor legal.
¿Qué es un contrato de procesamiento de datos? ¿Debo considerarlo?
Si conserva o procesa (introduce, edita, mantiene) datos personales (procesador de datos) en nombre de su cliente (controlador de datos), necesitará un contrato de procesamiento de datos. Recomendamos obtener asesoramiento legal para garantizar de la mejor manera posible que el contrato aborde la seguridad adecuada y otras medidas de protección de datos. Además, recomendamos a los clientes que tengan una lista de verificación sobre el manejo de los datos y la entrega del sistema de seguridad.
Conozca su función y responsabilidad
Está claro que la ley está cambiando al RGPD y esto debe tenerse en cuenta en la planificación del sistema de seguridad. Es necesario identificar y abordar las áreas que pueden causar problemas de cumplimiento en virtud del GDPR. Según el RGPD, las personas tienen derecho a recibir información clara sobre el uso de sus datos.
El primer paso práctico es identificar su función y responsabilidad con respecto al GDPR. ¿Es usted un controlador de datos o un procesador de datos o ambos? Si tiene alguna duda o no está seguro de la identidad del responsable del tratamiento o del procesador de datos, en cualquier caso, debe consultar a su asesor legal.
El segundo paso es rendir cuentas. Tenga en cuenta todos los datos personales que maneja cuando trabaja con el sistema de seguridad y examínelos bajo los siguientes epígrafes:
- ¿Qué datos personales se almacenan?
- ¿Cuál es la base legal en la que se basa el procesamiento de datos personales?
- ¿Dónde se almacenan los datos?
- ¿Cómo se protegen los datos?
- ¿Durante cuánto tiempo se conservan los datos?
- ¿Cuál es la política para gestionar las solicitudes individuales de acceso a los datos?
- ¿Cuál es el proceso si alguien solicita que lo eliminen del sistema?
- ¿Quién tiene acceso a los datos?
- ¿Se transfieren datos personales fuera del EEE?
Subsidio y GDPR
La siguiente información describe cómo se puede utilizar el Vanderbilt Vanderbilt Granta V5.3 para facilitar el cumplimiento del RGPD.
¿Qué datos personales se almacenan?
La recopilación de datos personales no es obligatoria en Granta, aunque tiene la capacidad de almacenar algunos campos definibles por el usuario, que podrían usarse para almacenar datos personales.
¿Cuál es la base legal en la que se basa el procesamiento de datos personales?
La entrada de datos y el mantenimiento de los datos están controlados por el controlador de datos y el procesador de datos del sitio. Como tal, es responsabilidad del controlador de datos y/o del procesador de datos garantizar que se obtenga la base legal para el procesamiento de los datos personales.
No hay procedimientos explícitos integrados en Granta SW para obtener el consentimiento del usuario o registrarlo.
¿Dónde se almacenan los datos?
Los datos se almacenan tanto en el PC como en los controladores Granta. El ordenador contiene toda la información relacionada con el sistema, y el controlador solo almacena datos como los números de tarjetas y los permisos de acceso como identificadores únicos. No es posible restaurar los nombres y otros datos «personales» de un controlador.
¿Cómo se protegen los datos?
La base de datos de Granta se almacena en un servidor SQL específico, donde se pueden modificar ciertas propiedades de conexión para aumentar la seguridad de los datos y restringir el acceso. Parte de la información contenida en la base de datos SQL está en texto plano; sin embargo, algunos datos, como los PIN y las contraseñas, están cifrados. Al tratarse de una base de datos SQL, también está protegida por las restricciones de acceso estándar que se aplican a través de Microsoft.
El personal de Vanderbilt no tiene acceso al sistema del cliente a menos que se lo autorice mediante un inicio de sesión remoto.
¿Durante cuánto tiempo se conservan los datos?
Los datos del titular de la tarjeta Granta se conservan mientras el titular de la tarjeta exista en el sistema. Sin embargo, la validez de ese titular de la tarjeta se puede establecer en fechas de inicio y finalización específicas.
Tenemos una función para purgar los eventos de registro anteriores a un período determinado de meses, que el usuario puede personalizar. De forma predeterminada, los eventos se mantienen a perpetuidad.
Al eliminar un titular de la tarjeta, el sistema no elimina, de forma predeterminada, sus eventos de registro relacionados. Sin embargo, esto se puede cambiar para eliminar los eventos del registro al eliminar al usuario.
¿Cuál es la política para gestionar las solicitudes individuales de acceso a los datos?
Si se realiza una solicitud, es responsabilidad del controlador de datos y/o los procesadores de datos describir la política y proporcionar los datos de manera oportuna de acuerdo con las regulaciones del GDPR.
Es posible filtrar los eventos celebrados en el sistema Granta para ver qué datos individuales se guardan sobre una persona, por ejemplo, los eventos de registro recientes o la información relacionada con su registro individual.
¿Cuál es el proceso si alguien solicita que lo eliminen del sistema?
Si se realiza una solicitud, es responsabilidad del controlador de datos y/o los procesadores de datos describir la política y eliminar los datos de manera oportuna de acuerdo con las regulaciones del GDPR.
De forma predeterminada, la información de los eventos se conserva durante 90 días en el sistema Granta, a menos que se especifique lo contrario. Los registros de auditoría se guardan indefinidamente, a menos que se especifique lo contrario; sin embargo, este registro debe habilitarse en primera instancia. Cuando se elimina al titular de una tarjeta, sus eventos asociados no se eliminan; sin embargo, es posible hacerlo mediante un script SQL en SQL Management Studio.
¿Quién tiene acceso a los datos?
Es responsabilidad del responsable del tratamiento y/o del procesador de datos revelar quién tiene acceso a los datos personales del sistema Granta instalado in situ.
Granta tiene la capacidad de definir diferentes inicios de sesión de usuario en el software. Cada usuario puede configurarse para que tenga el nivel necesario de acceso al software. Es responsabilidad del propietario del sistema definir quién tiene qué nivel de inicio de sesión operativo y eliminar el acceso cuando ya no sea necesario.
¿Se transfieren datos personales fuera del EEE?
En el modo operativo normal, los datos de usuario de Granta no se comparten fuera del sistema. Vanderbilt no tiene acceso a los datos personales. Es responsabilidad del responsable del tratamiento o del procesador de datos revelar si los datos personales se han transferido fuera del EEE.
.webp)