Protección de Personal Datos en la empresa RGPD: la protección de los datos personales en la empresa

El RGPD ya está celebrando sus dos años ! Esta es una oportunidad para actualizar la memoria en estas reglas importantes para todas las empresas en el procesamiento de datos personales. Desde la entrada en la aplicación de la regulación europea sobre la protección de los datos personales, dice regulaciones generales para la protección de datos (abreviado: «RGPD») El 25 de mayo de 2018, todas las empresas europeas deben estar de acuerdo con este texto, y sea cual sea su tamaño . El RGDP fortaleció la protección de los datos personales que se supervisó hasta el 25 de mayo de 2018 en Francia por la Ley de Protección de Datos de 6 de enero de 1978. Corresponde a la política europea para fortalecer la protección de los datos personales, lo que permite, en particular, a los ciudadanos a Tomar conscientes del valor de esta información. Los datos personales se han convertido en el advenimiento de los grandes datos el nuevo oro negro.

Si el RGPD ha hecho tanto sobre él de su adopción, se debe principalmente a las fuertes sanciones. Proporciona no Cumplimiento de sus obligaciones con la carga de las empresas. De hecho, una multa administrativa de hasta 20 millones de euros o el 4% de la rotación anual del mundo puede ser pronunciada por la Comisión Nacional de Informática y Libertades (CNIL) contra el responsable de su procesamiento y / o subcontratista (RGPD, art. 83, § 4 y 5). Por lo tanto, las empresas deben poder entender en qué marco es aplicable el RGDP y las reglas que se deben respetar.

¿Qué es lo que es datos personales dentro del significado de RGDP?

El RGPD define un Datos personales como «cualquier información relacionada con una persona natural identificada o identificable» (RGPD, art. 4, 1). El espíritu del texto es garantizar la protección más amplia posible de los derechos y libertades fundamentales de las personas, la noción de datos personales debe ser apreciada en términos generales.

La información para identificar la persona es probable que esté protegida por el reglamento. Este es el caso cuando es posible obtener su identidad a través de la correlación de varias información para volver a este último. La información puede estar directamente relacionada con la persona, como

  • un nombre,
  • una dirección postal,
  • una dirección de correo electrónico
  • >

La información puede ser indirecta, tal como:

  • un número de teléfono,
  • una placa,
  • a Habitación de hotel,
  • una dirección IP de una computadora,
  • varias información de anodino cuyo cruce hace posible volver a una persona.

Incluso información que incluso se relaciona de lejos a la persona son datos personales en el sentido del GPD. La información puede ser de cualquier tipo y aparecer en cualquier tipo de soporte (por ejemplo, una unidad flash USB, un disco duro externo o interno, un chip, un documento de papel …).

El RGPD no hace Vista a cualquier protección a los datos anónimos, así como los datos anónimos para los cuales se ha implementado un proceso para romper el vínculo entre los datos y la persona en que se refiere.

atención, desde la entrada de conformidad con el RGDP, Los datos personales que han sido objeto de una pseudonipación son, sin embargo, el sujeto de protección. Solo la información relacionada con una persona física está sujeta a la protección por el RGPD. Las personas se definen como personas vivientes y viables, independientemente de su nacionalidad o lugar de residencia (RGPD, considerando 14), la información sobre las personas jurídicas, por ejemplo, y fallecidas, se excluyen de la protección

qué debería ¿Se entenderá al procesar datos personales?

La noción de procesamiento de datos personales también se ha ampliado por el RGPD. El RGPD denota «cualquier operación o conjunto de operaciones realizadas o no utilizando métodos automatizados y aplicados a datos o conjuntos de datos personales» (Art.4, 2 de la RGPD).

El RGPD es aplicable a Una gran cantidad de operaciones de procesamiento, como la recopilación, el registro, la consulta, el uso, la difusión o cualquier otra forma de provisión, borrado o aún destrucción. La orientación también se considera un procesamiento de datos personales, que no fue el caso antes de la entrada en virtud del Reglamento.El tratamiento que se puede hacer utilizando procesos automatizados o no, el RGPD también es aplicable al formato de papel. Los archivos de una empresa, incluso si están en un rincón olvidado de todos, ¿es parte de los datos personales procesados!

Por ejemplo, cualquier compañía que utiliza y administre datos sobre sus clientes naturales para:

  • entrega,
  • facturación,
  • Envío de información y anuncios

realiza el procesamiento del sujeto de datos personales a las reglas de RGDP.

¿Qué es el perímetro geográfico de la aplicación del RGPD?

El RGPD es aplicable en dos casos:

  • cuando el El procesador de datos tiene un establecimiento permanente en un Estado miembro de la Unión Europea, como una subsidiaria, una sucursal o una oficina; o
  • cuando el tratamiento se dirige a una persona física en el territorio de un Estado miembro de la UE, que se establece el Gerente de Tratamiento en o fuera de la UE.

Cómo ¿Para continuar con el procesamiento de datos personales?

Antes de continuar con esta operación, la compañía debe cobrar el consentimiento de la persona interesada para el propósito o el propósito de este tratamiento. Por lo tanto, es una protección de los datos personales de los individuos.

El procesador de tratamiento tiene dos grandes responsabilidades

asignar significa

, por lo tanto, debe haber determinado los propósitos y Asignado los medios financieros, humanos y materiales del tratamiento necesarios para implementar el tratamiento (Artículo 4, 7 RGDP) e implementarlo de manera consistente. En el caso de una violación de las regulaciones establecidas por el RGDP, contrata su responsabilidad civil y penal. Por lo tanto, es recomendable designar para esta función a una persona con un cierto poder dentro de la empresa. Un subcontratista puede ser responsable de procesar datos personales en nombre del Oficial de Procesamiento como parte de un servicio o un servicio (por ejemplo, abogados, proveedores de servicios informáticos o mantenimiento y mantenimiento. Las empresas de seguridad informática confían en los abogados).

Informar a las autoridades nacionales

Debe informar a las autoridades nacionales de control a cargo de la protección de los datos personales, de cualquier datos de violación dentro de un máximo de 72 horas a partir de su conocimiento de la violación. La responsabilidad del subcontratista está muy cerca de la del gerente de procesamiento, es recomendable en caso de uso de este último para elegirlo atentamente. Los datos recopilados pueden ser transmitidos por el administrador de procesamiento a diferentes entidades, ya sean expresamente autorizados o no por ley para recibirlos. El Tesoro, los magistrados y los oficiales de la policía judicial están particularmente facultados por un texto legal para recibir una serie de información.

¿Quién es el DPO?

El delegado a la protección de datos (Oficial de protección de datos o DPO), una entidad interna o externa a la Compañía, debe intervenir de manera regular dentro de la Compañía para garantizar el cumplimiento de la RGDP de tratamiento implementada. Para este fin, este último debe tener un conocimiento legal significativo de la protección de los datos personales. Las recomendaciones que la fórmula se puede seguir o no el procesador de tratamientos. El DPO no toma ninguna decisión, su responsabilidad no puede participar en principio en caso de una violación del Reglamento.

La designación de una DPO por el administrador de procesamiento y el subcontratista es obligatorio en tres casos. designado en el arte. 37 §1 RGPD:

  • El tratamiento es realizado por una autoridad pública o un organismo público;
  • Las actividades principales del gerente de procesamiento requieren un monitoreo regular y sistemático para grandes Escala de personas involucradas;
  • Las actividades principales consisten en un tratamiento a gran escala de datos confidenciales (por ejemplo, datos de salud de las clínicas) o datos sobre condenas penales.

aunque el La DPO no es obligatoria en otros casos, se recomienda encarecidamente designar uno, especialmente cuando el conocimiento legal y informático necesario no existe internamente en la empresa. P.>

¿Cuáles son las acciones a tomar para la protección? ¿De datos personales?

Las principales acciones a tomar para la protección de los datos personales son los siguientes:

  • La constitución de un registro enumerando los tratamientos de datos personales.Este registro debe contener para cada actividad ejercida por la Compañía, el objetivo perseguido, las categorías de datos utilizados, las personas con acceso a los datos y la duración de la retención de datos. Hay una plantilla de registro en el sitio web de CNIL;
  • clasificando en datos recolectados;
  • Información y transparencia con respecto a las personas cuyos datos personales se tratan a través de un formulario de recolección de datos personales, una referencia a una política de privacidad o cláusulas específicas en los contratos;
  • Permitir a las personas ejercer fácilmente sus derechos por la implementación de un proceso interno para el procesamiento rápido de las solicitudes o en el caso de un sitio web a través de un formulario de contacto específico, una Número de teléfono o dirección de mensajería dedicada;
  • garantizar la seguridad de los datos.

¿Cuáles son los derechos de las personas protegidas?

DIFERENTES DERECHOS DE LAS PERSONAS PREOCUENTES por el procesamiento de sus datos personales debe respetarse, incluido el derecho a la información, un derecho de acceso y comunicación de Información, un derecho de rectificación y borrado limitado de información. Para respetar el derecho a la información, el administrador de procesamiento es responsable de transmitir a estas personas una lista consiguiente de información mencionada en la técnica. 13 y 14 del RGDP, incluido el propósito perseguido por el tratamiento, los intereses legítimos del gerente de tratamiento y los derechos de la persona afectada.

En caso de violación del RGDP, las personas afectadas pueden aprovechar Los tribunales judiciales o administrativos y la CNIL, a fin de iniciar la responsabilidad del gerente de procesamiento y / o subcontratista.

El papel del CNIL

El CNIL asegura respeto al respeto RGPD en Francia. Hace su misión de muchas maneras:

  • al instruir las quejas de las personas que creyeron en violación con respecto a sus datos personales
  • mediante la educación de los informes de las empresas donde ocurrió una violación
  • abriendo procedimientos de control, a menudo por sectores. Los sectores que tratan con muchos datos confidenciales se encuentran entre los más controlados y, por lo tanto, deben ser particularmente vigilantes con respecto al RGPD.

Mientras los ciudadanos alemanes tienen más tendencia que los franceses para presentar una Queja, cuando la CNIL inflige una sanción, es bastante pesada. Por lo tanto, si su negocio aún no ha implementado para estar de acuerdo con el RGDP, es mejor tarde que nunca.

Preguntas / respuestas sobre la protección de los datos personales en la Compañía

¿Qué es? El RGDP?

El RGPD es un Reglamento europeo que entró en vigor el 25 de mayo de 2018 y cuyo objetivo es armonizar las prácticas de las empresas en el uso y la protección de los datos personales dentro de la Unión Europea.

¿Quién debe respetar el RGPD?

El RGPD se aplica a cualquier organización privada o pública, independientemente de su tamaño, que manipula los datos personales. El RGDP se aplica a cualquier organismo establecido en el territorio de la UE y cualquier organización no de la UE que se ocupe de los datos personales relacionados con los europeos. Por lo tanto, el RGDP se aplica a las empresas, las asociaciones, así como a los subcontratistas.

¿Qué artículos de las regulaciones generales sobre protección de datos?

La protección de datos está asegurada a través de la liquidación por varios mecanismos. Esta protección está garantizada para la persona interesada:

  • al derecho a la información y el acceso a los datos personales (artículos 13, 14, 15 del RGPD);
  • en el derecho a la rectificación y eliminación (artículos 16, 17,18 y 19 de la RGDP);
  • a la derecha de la oposición y la toma de decisiones individuales automatizadas (artículos 21 y 22 del RGPD).

¿Cómo proteger los datos personales?

La persona responsable del procesamiento de datos personales se requiere para garantizar la seguridad de los datos personales que sostiene. El grado de seguridad depende de la sensibilidad de los datos y las consecuencias potenciales en caso de pérdida o piratería de los datos.
Esta seguridad se puede hacer gracias en particular:

  • a la configuración Día regular de antivirus y software;
  • al cambio regular y la complejidad de las contraseñas;
  • al cifrado de datos en ciertas situaciones;
  • a la verificación de la procedencia de los correos y la desconfianza con respecto a los archivos adjuntos o enlaces de los remitentes desconocidos;
  • a la gestión de huellas dactilares que quedan en Internet bloqueando por ejemplo cookies;
  • a la Uso de una red virtual (VPN), etc.

Françoise Berton, abogado en la ley alemana

Todos los derechos de propiedad intelectual reservados

Foto: Sdecoret

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *