La definición ¿RGPD?
El Reglamento General de Protección de Datos (GDPR) fue adoptado por el Parlamento Europeo en 2016 y entró en vigor en 2018. Establece un marco legal para la protección de datos personales para Europa. Cualquier entidad obligada a gestionar datos personales de residentes europeos deberá cumplir el Reglamento. Su aplicación va más allá de las fronteras de Europa: controladores de datos y subcontratistas extranjeros, que tratan con datos personales procedente de la Unión Europea (UE), deberá aplicar el RGPD incluso si el tratamiento se realiza fuera de la UE.
El texto refuerza la protección de las personas cuyos datos se recogen y los derechos que pueden ejercer. En particular, pueden acceder a los datos recopilados, decidir, por ejemplo, rectificarlos o eliminarlos y solicitar su portabilidad. El RGPD impone a los responsables del tratamiento de datos numerosas obligaciones, como la obligación de llevar un registro de tratamiento o de notificar a la CNIL en caso de violación de datos. Estas obligaciones van acompañadas de la rendición de cuentas de los actores de datos. El responsable del tratamiento garantiza la conformidad de sus actividades y debe poder demostrarla.
Datos personales y su conservación
Con el uso de nuevas tecnologías, los flujos de datos personales son cada vez más importantes. El RGPD tiene como objetivo regular su procesamiento con el objetivo de proteger la privacidad de las personas.
La noción de datos corresponde a información de la que se puede deducir un mensaje. Por ejemplo “la temperatura es 30°C” es información que podemos deducir después de la reflexión “hace calor”.
En términos de protección de la privacidad, los llamados datos personales se refieren a información relativa a personas físicas. Obviamente se trata de datos personales o de contacto. Pero el alcance de los datos personales es mucho más amplio. Tomemos como ejemplo un historial de compras en un sitio en línea; el vendedor puede utilizar esta información para sugerirle otros productos. Durante esta misma operación también recogerá tus datos como tu apellido, nombre, dirección postal, dirección de correo electrónico, número de teléfono, etc. Pero también tus hábitos de compra, tu dirección IP, tus sitios web favoritos, etc. Toda esta información constituye datos personales.
Cualquiera que sea el tipo de datos procesados, el CNIL conserva un criterio de identificación “directa” o “indirecta” de la persona. En otras palabras, se trata de datos personales en la medida en que esta información permita reconocer a la persona física de la que emana que este vínculo puede realizarse mediante el uso de un único dato o la agregación de varios datos
El RGPD también distingue diferentes categorías de datos personales que tienen, dependiendo del riesgo de vulneración de los derechos y libertades de las personas, un grado adecuado de protección. Por tanto, el tratamiento de datos sanitarios está sujeto a una mayor protección debido a su sensibilidad. Lo mismo se aplica a los datos relativos a la opinión racial, política, religiosa o sindical, pero también a los relativos a condenas penales.
Siempre con el objetivo de proteger los intereses de las personas físicas, el RGPD somete al responsable del tratamiento a la obligación de determinar los plazos de conservación de los datos que procesa. Sólo debe tratar datos estrictamente necesarios para su actividad y proporcionar su vida útil a su utilidad. Para cada operación de tratamiento, el responsable del tratamiento deberá informar a los interesados del plazo de conservación aplicable.
La vida útil puede estar sujeta a obligaciones legales específicas. En el caso de que ningún texto prevea un plazo de conservación, éste deberá ser razonable y proporcionado al objetivo perseguido por el tratamiento de datos.
Transcurridos estos plazos, los datos deberán ser eliminados de la base de datos o anonimizados. En caso contrario, el responsable del tratamiento incumple su obligación de limitar el alcance de los datos que procesa y no respeta el principio de minimización.
El cumplimiento del RGPD no es una certificación validada en un momento dado, sino un nuevo proceso de mejora continua dentro de la empresa.
El objetivo de un proyecto de cumplimiento del RGPD es lograr un nivel de protección suficiente y adecuado teniendo en cuenta los riesgos. Y esto, para poder demostrar en cualquier momento, especialmente en caso de incidentes de seguridad, quejas o inspecciones, que se han implementado todas las medidas necesarias para contrarrestar estos riesgos.
El cumplimiento del RGPD es un nuevo proceso interno dentro de la empresa que evoluciona con el tiempo, por lo que la empresa debe definir un método claro y aplicarlo dentro de cada departamento de su organización. La empresa puede confiar en una solución de software para implementar el proceso de cumplimiento.
El concepto de procesamiento de datos Registro personal y de tramitación
El RGPD define el tratamiento como: "cualquier operación o conjunto de operaciones realizadas o no mediante procesos automatizados y aplicadas a datos personales o conjuntos de datos". Más sencillamente, el tratamiento de datos es un conjunto de operaciones que se realizan sobre datos personales. Esta noción no es fácil de entender porque reúne muchas posibilidades.
Se debe considerar que el tratamiento de datos existe desde el momento en que usted interviene sobre uno o más datos personales.
· Recopilar datos para agruparlos en un archivo, su procesamiento,
· Eliminar datos de un listado, otro procesamiento,
· Estructurar los datos de sus clientes en software, procesándolos siempre,
· Un archivo Excel de invitados a un evento, lo adivinaste, es un tratamiento.
El procesamiento de datos puede ser tanto informático como en papel. La pila de CV abandonados en el armario de un departamento de RRHH es el resultado del procesamiento.
De conformidad con el artículo 30 del RGPD, las personas que realizan el tratamiento de datos (como responsables del tratamiento pero también como subcontratistas) deben llevar un registro de las actividades de tratamiento. Es un documento que le permite enumerar, describir y analizar todo su tratamiento de datos personales, para tener una visión general. Debe ser mantenido por todas las organizaciones, públicas y privadas y cualquiera que sea su tamaño, cuando procesan datos personales. Las empresas con menos de 250 empleados sólo deben enumerar:
- tratamientos no ocasionales (ejemplo: gestión de personal);
- operaciones de tratamiento que puedan suponer un riesgo para los derechos y libertades de las personas
- tratamiento de datos sensibles (ejemplo: datos sanitarios, opinión religiosa, etc.).
En la práctica, las operaciones de tratamiento que entran en el ámbito de aplicación de esta exención reservada a las estructuras más pequeñas son bastante raras y, en general, siempre que se utilice información procedente de residentes europeos a título profesional, se está preocupado. Este es el documento fundamental de su cumplimiento, que no puede ignorar y que necesariamente se le solicitará en caso de una inspección.
Dependiendo de su condición de subcontratista o responsable del tratamiento de datos, la lista de información obligatoria que debe aparecer en el registro varía. Sin embargo, más allá de la información estrictamente obligatoria, mantener un registro es una oportunidad para identificar toda la información que necesita para garantizar la conformidad de su procesamiento. Es por esto que Data Comply One (anteriormente Mission RGPD) ofrece un modo "avanzado" en su aplicación de registro de procesamiento que le ayuda a hacerse las preguntas correctas y revisar sus métodos de procesamiento y el cumplimiento de sus obligaciones.
