Conformidad RGPD: Cómo el software Boréalis puede ayudarlo

Para una empresa, la capacidad de recopilar y analizar información personal de los clientes es generalmente algo positivo. Pero junto con esta valiosa información, existe la responsabilidad de cumplir con las leyes y regulaciones específicas.

El Reglamento General de Protección de Datos (RGPD) se ha adoptado para que todas las organizaciones que recopilan y almacenan datos personales los protejan contra pérdidas, robos y mal uso. Toda falta que atenta a este reglamento puede ser muy costosa.

Sin las herramientas y el conocimiento necesarios, tratar de cumplir con estas regulaciones restrictivas y punitivas puede ser realmente aterrador. Por lo tanto, queremos compartir con usted algunos de los aspectos más importantes del RGPD – y cómo el software Boréalis le puede ayudar a cumplirlo.

En este artículo abordaremos (tiempo de lectura: 15 minutos):

¿Qué es el RGPD?

El Reglamento General de Protección de Datos es un marco legal que define las normas relativas a la recopilación y el procesamiento de información personal de ciudadanos de la Unión Europea (UE). El RGPD ha establecido dos objetivos principales:

  1. Dar a los ciudadanos de la UE un mayor control sobre sus datos personales.
  2. Estandarizar el marco regulatorio para que tanto las empresas como los consumidores puedan beneficiarse de la economía digital.

¿Cómo protege el RGPD los datos?

El RGPD protege los datos de diferentes maneras.

Primero, exige que las empresas incorporen medidas de protección de datos en sus productos y servicios desde el comienzo de su desarrollo; esto se llama «protección de datos por diseño«. Este principio rector también se aplica a cualquier servicio que requiera el procesamiento de datos personales – incluyendo aquellos relacionados con los grupos de interés.

Igualmente, se incita a las organizaciones a adoptar técnicas para garantizar la mejora constante de la confidencialidad de los datos. Una de las técnicas utilizadas con frecuencia es la seudonimización, que consiste en tomar los datos personales y eliminar información que identifique a la persona, para luego reemplazar esta información con un identificador o seudónimo artificial. Por lo tanto, es imposible saber a quién pertenece la información, si esta cayese en manos equivocadas.

Cómo el software Boréalis puede ayudarlo a cumplir con el principio de "protección de datos por diseño":

  • A diferencia de los archivos de Excel, que son una de las formas menos seguras de administrar datos confidenciales (vea por qué ya no debe usar hojas de cálculo para gestionar los grupos de interés), las funcionalidades del software Boréalis le permiten restringir el acceso a los datos y aislarlos para garantizar la seguridad, integridad y confidencialidad.
  • El complemento Outlook de Boréalis utiliza mecanismos avanzados de cifrado de datos para proteger la información enviada por correo electrónico.
  • Durante la fase de implementación del software Boréalis en su organización, nuestro equipo lo ayudará a determinar el nivel mínimo de acceso requerido y agregará, si es necesario, niveles de seguridad más elevados.
  • Cuando su plataforma Boréalis esté operativa, nuestro sistema podrá monitorear continuamente su uso para detectar cualquier actividad inusual: múltiples intentos fallidos de inicio de sesión, exportación de grandes cantidades de datos, etc. Dependiendo de la situación, el sistema bloqueará automáticamente el acceso al usuario en cuestión o notificará a nuestro equipo de monitoreo, el cual se comunicará con la persona que usted haya designado para que se puedan tomar las medidas adecuadas.

Vea las otras formas en que el software Boréalis garantiza la seguridad de los datos, tanto de su empresa como de sus grupos de interés.

¿Qué organizaciones están obligadas a cumplir con el RGPD?

El RGPD está dirigido a todas las organizaciones que operan dentro de la UE, así como a todas aquellas que ofrecen bienes o servicios a clientes o empresas establecidas en la UE.

Independientemente de su tamaño, industria o tipo de actividad, una empresa que recopila información personal de clientes de la UE debe cumplir con el RGPD.

En pocas palabras, cualquier empresa que venda productos o servicios en línea está sujeta al RGPD, ya que cualquiera de sus clientes podría provenir de la UE. Estas reglas y regulaciones se aplican a las actividades de un individuo en el mundo de los negocios, así como a las empresas de Fortune 500.

¿Qué información personal tienen derecho a recopilar las organizaciones?

Si tiene la responsabilidad de reubicar una comunidad como parte de un proyecto financiado por la Corporación Financiera Internacional (CFI), usted debe cumplir con ciertas normas, como la identificación de hogares vulnerables para garantizar la continuidad de sus medios de vida. Sabiendo que esta vulnerabilidad depende de factores como la edad, el género, las discapacidades, etc., está justificado solicitar este tipo de información personal durante las encuestas de hogares. Por otro lado, y siempre con miras a la conformidad, no estaría justificado cuestionarlos sobre sus creencias religiosas o políticas, o sobre su orientación sexual.

El RGPD presenta una serie de reglas. Por ejemplo, las empresas deben:

  1. Procesar los datos personales de manera legal, transparente y no abusiva.
  2. Tener una razón válida para procesar estos datos y explicar claramente esta razón a las personas cuando se recopilen sus datos personales.
  3. Recopilar y procesar únicamente los datos personales necesarios para este fin («limitación de datos»).
  4. Asegurarse de que los datos personales recopilados sean precisos y estén actualizados para que puedan seguir cumpliendo este propósito.
  5. Utilizar los datos personales estrictamente para el propósito establecido al inicio.
  6. Conservar los datos personales solo el tiempo necesario para que cumplan el propósito para el que están destinados.
  7. Poner en práctica las medidas técnicas y organizativas necesarias para proteger los datos personales contra cualquier uso no autorizado, pérdida, daño o destrucción.

El cumplimiento de estas reglas y otros principios del RGPD a menudo requieren el uso de las herramientas de software adecuadas.

Cómo el software Boréalis puede ayudarlo a cumplir con el principio de limitar el propósito del RGPD:

Aunque el software Boréalis puede registrar todo tipo de datos, nuestro equipo puede ayudarlo a configurar el sistema para que solo recopile los datos necesarios. Depende de usted elegir los datos exactos que deben ser registrados, y nosotros podemos ayudarlo a modificar esta configuración según la evolución de las reglas mencionadas anteriormente y las necesidades de su organización.

¿Qué información deben proporcionar las organizaciones a las personas cuyos datos son recopilados?

Al recopilar los datos personales de un individuo, una organización está en la obligación de proveer la siguiente información:

  • El nombre y los datos de contacto de la organización, así como los de su Oficial de Protección de Datos (OPD), si tiene uno.
  • La razón por la que recopila estos datos personales.
  • Los tipos de datos personales recopilados.
  • La justificación legal para el procesamiento de estos datos.
  • Cuánto tiempo serán conservados los datos.
  • Quién más podría acceder a los datos.
  • Si estos datos se transmitirán fuera de la UE.

Al mismo tiempo, la organización también debe informar a la persona que tiene derecho a:

  • Solicitar una copia de los datos recopilados sobre ella (derecho de acceso a los datos personales), así como la información sobre sus otros derechos fundamentales.
  • Presentar una queja ante una Autoridad de Protección de Datos (APD).
  • Revocar su consentimiento en cualquier momento.

Consulte la lista completa de la información que las organizaciones deben proporcionar al recopilar datos personales.

¿Cómo debemos manejar las solicitudes de particulares?

El RGPD estipula que las personas tienen derecho a solicitar acceso a los datos personales que una empresa ha recopilado sobre ellas. También tienen derecho a solicitar que estos datos sean corregidos, eliminados o limitados. Las personas también pueden oponerse a cualquier recopilación de esta información, o exigir que su procesamiento no esté sujeto a la toma de decisiones automatizada.

Según el RGPD, si un grupo de interés se contacta con usted para preguntarle cómo su organización procesa sus datos personales, la solicitud debe tratarse de la siguiente manera:

  • Usted debe responder a la solicitud lo antes posible y, a más tardar, un mes después de la recepción.
  • También puede solicitar información adicional al grupo de interés, pero solo para confirmar su identidad.

En algunos casos, puede rechazar la solicitud. Si usted tiene razones legítimas para rechazar la solicitud de un grupo de interés, debe explicarle las razones del rechazo e informarle sobre su derecho a presentar una queja ante la APD y obtener un recurso legal.

Cómo el software Boréalis facilita el procesamiento de solicitudes de particulares

Dado que el software Boréalis centraliza todos los datos de los grupos de interés, cada uno de sus archivos contiene toda la información sobre un individuo. Si un grupo de interés solicita una copia de todos los datos personales que ha recopilado sobre él, usted no tendrá que buscar a diestra y siniestra para recabar la información. Todo es registrado en un solo lugar en Boréalis. Con un solo clic, cualquier persona con derechos de acceso puede exportar un archivo PDF en formato legible incluyendo todos los datos de un grupo de interés.

Y si un grupo de interés quiere que su información personal sea corregida, limitada (oculta) o eliminada, es igualmente fácil de hacerlo. En Boréalis, solo tiene que realizar esta operación una vez para que los cambios se apliquen en toda la organización. También puede añadir al archivo del grupo de interés cualquier información relacionada con el consentimiento presentado. De esta manera, la información estará disponible de inmediato y a su alcance en el caso de una auditoría.

Gracias a la comunidad de práctica global del software Boréalis, nuestro equipo puede asesorarle sobre las mejores prácticas al respecto – y de manera más desarrollada.

¿Cuánto tiempo pueden las organizaciones conservar los datos y es que deben actualizarlos?

Para cumplir con el RGPD, los datos no deben conservarse más tiempo del necesario. La duración exacta varía según los motivos por los que se procesan los datos y las otras obligaciones legales a las que su empresa puede estar sujeta, sobretodo según las leyes nacionales específicas sobre trabajo, impuestos o prevención de fraude. Estas leyes rigen la manera cómo los datos personales son utilizados para administrar adecuadamente a los empleados, garantías de productos, etc.

En el caso de que ciertos datos personales se archiven para servir al interés público o en el contexto de investigaciones científicas o históricas, es justificado conservarlos durante más tiempo.

Ya sea que los datos se conserven durante 15 minutos o 150 años, las empresas deben implementar las medidas técnicas y organizativas adecuadas, como la seudonimización, encriptación (cifrado), etc.

Las empresas deben establecer un cronograma preciso para verificar, actualizar y borrar los datos grabados.

Cómo el software Boréalis puede ayudarlo a cumplir con el RGPD:

El software Boréalis puede avisarle cuando un grupo de interés ha estado inactivo durante demasiado tiempo (por ejemplo, durante más de dos años) y tiene que ser eliminado de sus archivos. El cliente puede establecer el período de inactividad requerido. Se pueden configurar otras notificaciones u operaciones similares con el cliente en el momento de integrar el software en su empresa.

¿Qué deben hacer las organizaciones en caso de violación de datos?

Una violación de datos es cualquier incidente de seguridad que podría comprometer la confidencialidad, disponibilidad o integridad de los datos.

Según el RGPD, las organizaciones son responsables de implementar medidas técnicas y organizativas apropiadas para reducir el riesgo de violaciones de datos.

Si se produce una violación de datos que podría poner en peligro los derechos y libertades de una persona, la organización debe notificar de inmediato a las autoridades competentes, a más tardar 72 horas después de darse cuenta de la violación.

Si la violación expone los derechos y libertades de una persona en alto riesgo, la organización debe tomar las medidas necesarias para informar a esa persona, a menos que ya se hayan tomado medidas adicionales para garantizar que el riesgo no sea susceptible de materializarse.

Cómo el software Boréalis puede ayudarlo a prevenir violaciones de datos:

Las violaciones de datos son verdaderas pesadillas logísticas, y sus repercusiones en las finanzas y la reputación de una empresa son potencialmente desastrosas. Boréalis reduce el riesgo de piratería y violaciones de datos gracias a herramientas de monitoreo 24/7, encriptación de datos, pruebas de penetración y otras pruebas de vulnerabilidad.

En el caso de una violación de datos o cualquier otro incidente de seguridad, hemos implementado un protocolo para responder rápidamente. Como parte de este protocolo, nuestro equipo notificará a la persona de contacto designada por la organización que, a su vez, podrá comunicarse con los grupos de interés implicados utilizando la funcionalidad Comunicaciones inteligentes de Boréalis. Obtenga más información sobre las formas en que Boréalis garantiza la seguridad de los datos.

¿Necesitan todas las organizaciones una estrategia de cumplimiento del RGPD?

Cualquier organización que recopile datos de ciudadanos europeos debe tener una estrategia relacionada con el RGPD. Incluso las organizaciones con sede fuera de la UE pueden beneficiarse. Sin embargo, para establecer una estrategia adecuada, es importante establecer primero si su organización, con respecto al RGPD, es un «procesador de datos» o un «controlador de datos»:

  • Un controlador es una «persona, autoridad pública, agencia u otro organismo que, solo o junto con otras personas, decide los objetivos y los medios del procesamiento de datos personales.»
  • Un procesador es una «persona, autoridad pública, agencia u otro organismo que procesa datos personales en nombre del controlador».

Por ejemplo:

La protección de los datos personales es en gran parte responsabilidad de los controladores, quienes están legalmente obligados a mantener registros de los datos personales y de la manera de efectuar su procesamiento. Los controladores también deben asegurarse de que todos los contratos con sus procesadores cumplan con el RGPD. En el caso de una violación de datos, los controladores incurren en un alto nivel de responsabilidad legal.

Tenga en cuenta que la multa se otorgará al controlador, no al procesador. Esto resalta la importancia de elegir al proveedor adecuado cuando desea configurar un sistema de gestión de información de los grupos de interés. Durante 20 años, Boréalis ha apoyado a organizaciones de todo el mundo en sus esfuerzos por cumplir con los requisitos de cumplimiento, tanto del RGPD como del CFI, ICMM, IPIECA e ISO 26000. Nosotros nos aseguramos de que nuestro sistema esté actualizado con las leyes sobre la confidencialidad de datos – algo que un nuevo proveedor no puede garantizar necesariamente.

¿Cómo pueden las organizaciones demostrar el cumplimiento del RGPD?

La regulación del RGPD requiere no solo que las organizaciones cumplan con sus principios de protección de datos, sino también que demuestren su cumplimiento. El RGPD propone un conjunto de herramientas útiles para alcanzar este propósito, algunas de las cuales son obligatorias.

En algunos casos, se requiere que las organizaciones tengan un Oficial de Protección de Datos o que realicen Evaluaciones de Impacto de Protección de Datos (EIPD).

Las organizaciones también pueden usar otras herramientas, como códigos de conducta y mecanismos de certificación para demostrar el cumplimiento. Si bien son opcionales, estas herramientas pueden ser útiles si su organización está bajo investigación por una violación del RGPD.

Vea cómo el software Boréalis puede ayudarlo a garantizar el cumplimiento del RGPD:

Trazabilidad y auditoría

Los registros de auditoría grabados en Boréalis permiten a los clientes demostrar qué usuario ha accedido a qué documentos.

Simplifique el cumplimiento del RGPD con Boréalis

A pesar de que el RGPD pueda parecer tan complejo, de hecho, es solo una síntesis de principios probados de seguridad de datos.

Para las organizaciones que ya han implementado medidas de buena gobernanza, el cumplimiento será solo otra de sus mejores prácticas, y el proceso será relativamente sencillo. Para otras, será probablemente necesario implementar políticas, procedimientos y herramientas adicionales para proteger adecuadamente los datos.

En cualquier caso, el hecho de tener a su disposición un sistema especialmente diseñado para administrar los datos de los grupos de interés le permite mucho más que simplemente facilitar el cumplimiento del RGPD. Es la eficiencia de la gestión cotidiana de sus grupos de interés que resultará mejorada.

¿Le gustaría conocer todas las maneras en que el software Boréalis puede ser útil para su empresa? Hable con nuestro equipo.

Fuente: https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organizations_en

François Robichaud

François Robichaud

François posee 10 años de experiencia en la implementación de soluciones complejas en responsabilidad social empresarial y ambiental para importantes proyectos internacionales de infraestructura. Él forma parte del equipo Boréalis desde el año 2009, donde su colaboración ha contribuido al éxito de diversos proyectos a través del mundo. François ha acumulado una vasta experiencia en gestión de las partes interesadas, inversión social estratégica, gestión de quejas, reasentamiento y restablecimiento de medios de vida. Fuera del trabajo, François es un apasionado de los volcanes, la sismología y practica ciertos deportes extremos de vez en cuando.
Más detalles sobre el autor

Experimente el software de gestión de
grupos de interés Boréalis, ahora!

Pide una demostración
Español
es

© 2023 - Boréalis / Todos los derechos reservados.