Guía de cumplimiento del RGPD por SMS
Guía de cumplimiento del RGPD por SMS
Las soluciones y los productos de Vanderbilt permiten a los clientes gestionar y procesar los datos personales de forma que cumplan con los requisitos del RGPD. El objetivo de esta guía es ayudar y apoyar a nuestros clientes a evaluar si están preparados para cumplir con sus responsabilidades y obligaciones en virtud de la nueva normativa.
Visión general
La protección de datos es un derecho fundamental por el que toda persona tiene derecho a la protección de los datos personales que le conciernen. El Reglamento General de Protección de Datos (GDPR) entrará en vigor el 25 de mayo de 2018 y está diseñado para dar a las personas un mayor control sobre sus datos personales. Existe un conjunto de normas para toda la UE, que puede complementarse en algunos ámbitos mediante la legislación nacional.
El RGPD impone obligaciones a las empresas u organizaciones que recopilan, utilizan y procesan datos personales. En el centro del GDPR está el requisito de que las organizaciones y las empresas sean totalmente transparentes en cuanto a la forma en que utilizan y protegen los datos personales, y que puedan demostrar su responsabilidad por sus actividades de procesamiento de datos. Dichos datos deben procesarse de manera justa para fines específicos y sobre la base del consentimiento de la persona en cuestión o de alguna otra base legítima establecida por la ley.
Si bien Vanderbilt ofrece a los clientes una funcionalidad de producto flexible e intuitiva para facilitar el cumplimiento de las nuevas regulaciones, la organización de Vanderbilt no recopila, controla, usa ni procesa los datos personales que existen en los productos locales de Vanderbilt. Por lo tanto, el controlador y el procesador de datos personales tienen la función y la responsabilidad de garantizar el cumplimiento de las obligaciones establecidas en el GDPR.
Si tiene alguna duda o no está seguro de la identidad del controlador de datos y/o procesador de datos, en cualquier caso, debe consultar a su asesor legal.
¿Qué son los datos personales?
El término «datos personales» significa cualquier información relacionada con una persona viva que esté identificada o identificable.
Una persona es identificable si puede identificarse directa o indirectamente mediante un «identificador». El GDPR ofrece ejemplos de identificadores, incluidos nombres, números de identificación y datos de ubicación. Una persona también puede ser identificable por referencia a factores que son específicos de su identidad, como los factores físicos, genéticos o culturales.
Los datos personales que han sido anonimizados, cifrados o anonimizados, pero que pueden usarse para volver a identificar a una persona, siguen siendo datos personales y entran dentro del ámbito de aplicación del RGPD. Si los datos personales se han anonimizado de tal manera que la persona ya no es identificable, no se consideran datos personales. Para que los datos sean verdaderamente anónimos, la anonimización debe ser irreversible.
La ley protege los datos personales independientemente de la tecnología o el método utilizado para procesar esos datos; se aplica tanto al procesamiento automático como al manual. Tampoco importa cómo se almacenen los datos personales: en un sistema de TI, mediante videovigilancia o en papel; en todos los casos, los datos personales están sujetos a los requisitos de protección establecidos en el RGPD.
¿Qué constituye el procesamiento de datos?
El procesamiento abarca una amplia gama de operaciones realizadas con datos personales, incluso por medios manuales o automatizados. Incluye la recopilación, el registro, la organización, la estructuración, el almacenamiento, la adaptación o alteración, la recuperación, la consulta, el uso, la divulgación mediante transmisión, difusión o puesta a disposición de cualquier otro modo, la alineación o combinación, la restricción, el borrado o la destrucción de datos personales.
El Reglamento General de Protección de Datos (GDPR) se aplica al procesamiento total o parcial de datos personales por medios automatizados, así como al procesamiento no automatizado, si forma parte de un sistema de archivo estructurado.
¿Soy un controlador de datos o un procesador de datos?
Un controlador de datos es una persona física o jurídica que controla y es responsable del mantenimiento y el uso de la información personal en una computadora o en archivos manuales estructurados. Ser un controlador de datos conlleva sus responsabilidades legales, por lo que debe tener muy claro si estas responsabilidades se aplican a usted o a su organización.
Si usted o su organización controlan y son responsables de los datos personales que posee, es decir, deciden qué información personal se conservará y qué uso se le dará a la información, entonces usted o su organización son responsables del tratamiento de datos.
Algunos ejemplos de casos en los que el responsable del tratamiento de datos es una persona son los médicos generalistas, los farmacéuticos, los políticos y los comerciantes individuales, en los que estas personas conservan información personal sobre sus pacientes, clientes, electores, etc.
Si usted o su organización tienen los datos personales, pero otra persona u organización decide y es responsable de lo que sucede con los datos, entonces esa otra persona u organización es el controlador de datos y usted o su organización son un «procesador de datos».
Entre los ejemplos de procesadores de datos se incluyen las empresas de nómina, los contadores y las empresas de investigación de mercado, todas las cuales podrían almacenar o procesar información personal en nombre de otra persona.
¿Qué es el consentimiento de datos? ¿Debo considerarlo?
Para procesar legalmente los datos personales, las organizaciones y las empresas deben identificar y documentar la base legal para hacerlo desde el principio. Algunas de las formas legales de procesar datos incluyen:
- Consentimiento de la persona: El consentimiento es apropiado si se ofrece a las personas opciones reales y control sobre cómo se utilizan sus datos.
- Intereses vitales: El procesamiento es necesario para proteger los intereses vitales de la persona, por ejemplo, si es necesario para proteger la vida de alguien.
- Cumplimiento que conlleva una obligación legal: Los datos se pueden procesar si, por ejemplo, la legislación de la UE lo exige para un propósito particular.
- Un contrato con la persona: El procesamiento es necesario para la ejecución de un contrato con una persona, por ejemplo, para suministrar bienes o servicios que se han solicitado
Si tiene alguna duda sobre si ha obtenido el consentimiento suficiente para procesar datos personales, debe consultar a su asesor legal.
¿Qué es un contrato de procesamiento de datos? ¿Debo considerarlo?
Si conserva o procesa (introduce, edita, mantiene) datos personales (procesador de datos) en nombre de su cliente (controlador de datos), necesitará un contrato de procesamiento de datos. Recomendamos obtener asesoramiento legal para garantizar de la mejor manera posible que el contrato aborde la seguridad adecuada y otras medidas de protección de datos. Además, recomendamos a los clientes que tengan una lista de verificación sobre el manejo de los datos y la entrega del sistema de seguridad.
Conozca su función y responsabilidad
Está claro que la ley está cambiando al RGPD y esto debe tenerse en cuenta en la planificación del sistema de seguridad. Es necesario identificar y abordar las áreas que pueden causar problemas de cumplimiento en virtud del GDPR. Según el RGPD, las personas tienen derecho a recibir información clara sobre el uso de sus datos.
El primer paso práctico es identificar su función y responsabilidad con respecto al GDPR. ¿Es usted un controlador de datos o un procesador de datos o ambos? Si tiene alguna duda o no está seguro de la identidad del responsable del tratamiento o del procesador de datos, en cualquier caso, debe consultar a su asesor legal.
El segundo paso es rendir cuentas. Tenga en cuenta todos los datos personales que maneja cuando trabaja con el sistema de seguridad y examínelos bajo los siguientes epígrafes:
- ¿Qué datos personales se almacenan?
- ¿Cuál es la base legal en la que se basa el procesamiento de datos personales?
- ¿Dónde se almacenan los datos?
- ¿Cómo se protegen los datos?
- ¿Durante cuánto tiempo se conservan los datos?
- ¿Cuál es la política para gestionar las solicitudes individuales de acceso a los datos?
- ¿Cuál es el proceso si alguien solicita que lo eliminen del sistema?
- ¿Quién tiene acceso a los datos?
- ¿Se transfieren datos personales fuera del EEE?
SMS Y GDP
La siguiente información describe la funcionalidad del sistema SMS v6.x de Vanderbilt en relación con el cumplimiento del RGPD.
¿Qué datos personales se almacenan?
Los únicos datos personales necesarios para el registro del titular de la tarjeta son el apellido y el identificador de identificación codificado, aunque es probable que se recopilen datos adicionales. El nombre, la inicial del segundo nombre y la imagen del titular de la tarjeta son opcionales. Los campos definibles por el usuario también se pueden utilizar para introducir diversos datos personales según los defina el usuario final (cliente).
¿Cuál es la base legal en la que se basa el procesamiento de datos personales?
La base legal sobre la que se obtienen y procesan los datos personales está definida por las políticas y procedimientos del usuario final. Como ayuda para el proceso de aprobación, algunas aplicaciones de terceros que cuentan con sofisticados procesos de flujo de trabajo de consentimiento y cumplimiento pueden integrarse con el sistema de SMS.
¿Dónde se almacenan los datos?
Los datos se introducen y son propiedad del usuario final y se almacenan localmente en la base de datos SQL o en la red del usuario final (es decir, el servidor virtual), o en copias de seguridad administradas por el usuario final. Aparte del identificador de identificación codificado, no se almacena ningún otro dato personal en los controladores del sistema o del hardware. Además, el sistema no permite duplicar identificaciones codificadas.
¿Cómo se protegen los datos?
Para acceder a la base de datos se requiere un software de cliente de SMS con inicio de sesión protegido por contraseña. Los usuarios no pueden iniciar sesión directamente en el servidor SQL.
¿Durante cuánto tiempo se conservan los datos?
Los requisitos de retención de datos los define y administra el usuario final.
La utilidad de mantenimiento de bases de datos de SMS se utiliza para hacer copias de seguridad de la base de datos y archivar los archivos de historial. También realizará una desfragmentación y una reindexación completas de todas las tablas de SMS y una purga completa de todos los registros cuya eliminación esté programada. Estas funciones se pueden ejecutar manualmente o se pueden programar para que se ejecuten automáticamente. El usuario final debe configurar el mantenimiento de la base de datos del sistema y los ajustes de retención de archivos para cumplir con los requisitos de su país o del RGPD.
¿Cuál es la política para gestionar las solicitudes individuales de acceso a los datos?
Hay informes predefinidos para titulares de tarjetas, acceso y auditoría que pueden ejecutarse en SMS e imprimirse o exportarse en CSV y en varios formatos estructurados, como Excel y PDF.
¿Cuál es el proceso si alguien solicita que lo eliminen del sistema?
Si se realiza una solicitud, es responsabilidad del controlador de datos y/o los procesadores de datos describir la política y eliminar los datos de manera oportuna de acuerdo con las regulaciones del GDPR.
Los registros de los titulares de tarjetas con los datos personales asociados se pueden «eliminar» (es decir, marcar para su eliminación u ocultación) desde el software del cliente o mediante un 3 integradorojo solicitud de parte con efecto inmediato. Los datos personales se eliminarán por completo de los eventos de registro de acuerdo con la configuración de mantenimiento del sistema definida por el usuario para las copias de seguridad y el archivado de las bases de datos.
¿Quién tiene acceso a los datos?
Estos detalles se definen y controlan de acuerdo con las políticas corporativas específicas y establecidas por cada usuario final.
Los datos los define e ingresa el usuario final, sin embargo, también se pueden completar mediante un 3rojo sistema integrado por las partes si se aprueba e implementa según lo acordado por el usuario final.
Los privilegios de acceso de los usuarios se pueden asignar para definir un alto nivel de granularidad, lo que garantiza que el acceso a los datos personales sea específico para cada función. Los informes de auditoría se pueden ejecutar para mostrar los detalles de inicio de sesión del operador.
El SMS permite eliminar los datos personales del titular de la tarjeta de la base de datos con la limpieza y el mantenimiento completos del sistema realizados según el cronograma definido por el usuario o la emisión manual. El módulo de mantenimiento de la base de datos mantiene el número de copias de seguridad especificado para su conservación. Los archivos de datos son gestionados por completo por el usuario final una vez creados a partir de SMS.
¿Se transfieren datos personales fuera del EEE?
Los sistemas de SMS están instalados en todo el mundo y pueden utilizar 3rojo integraciones entre partes según sea necesario e implementado por cada usuario final. Cualquier transferencia de la divulgación de datos sería responsabilidad de dichas partes o tal como la gestionara el usuario final.
.webp)