Descubra lo que significan los derechos de GDPR para su organización y cómo prepararse
La Regulación General de Protección de Datos (GDPR) es el nuevo marco legal para la Unión Europea a partir de mayo de 2018, en reemplazo de la Directiva de Protección de Datos. Mientras que la directiva era solo una recomendación, GDPR contempla el alcance de una ley.
El propósito de GDPR es similar al de la actual Directiva de Protección de Datos. La regulación está diseñada para proteger los datos personales de los ciudadanos de la Unión Europea, al definir la forma en que las organizaciones deben procesarla, almacenarla y destruirla.
La ley también otorga a los individuos el control sobre cómo las compañías pueden utilizar información que está directamente vinculada con ellos y les proporciona ocho derechos específicos. Algunos de estos derechos son nuevos, algunos son versiones más rígidas de otros ya existentes con la Directiva de Protección de Datos. En GDPR, estos derechos de GDPR adquieren el nombre de “Derechos de Sujetos de Datos”.
Los sujetos de datos son lo opuesto a los “objetos de datos”. No son entidades pasivas que no tienen más opción que aceptar lo que sea que suceda con sus datos personales. En este caso, son propietarios independientes de sus datos y determinan cómo quieren que sean usados.
A continuación, detallamos los derechos individuales garantizados por la GDPR, explicamos lo que significan en la práctica y describimos cómo su organización se puede adaptar.
Los 8 derechos de GDPR
1. Derecho a estar informado
Artículos de GDPR: 12, 13, 1
¿Qué significa para los individuos? Antes de que los datos sean recolectados, un sujeto de datos tiene el derecho a conocer cómo serán recolectados, procesados y almacenados, y con qué propósitos.
¿Cómo lo implemento en mi organización? Cree políticas de fácil lectura que proporciones detalles específicos acerca de qué información sobre un individuo está siendo almacenada, y cómo será utilizada. Asegure todos los procedimientos de recolección de datos, informando al usuario antes de la recolección de datos.
2. Derecho al acceso
Artículos de GDPR: 12, 15
¿Qué significa para los individuos? Luego de que los datos son recolectados, un sujeto de datos tiene el derecho a conocer cómo los datos existentes han sido recolectados, procesados y almacenados, y con qué propósitos.
Implemente procedimientos y capacidades técnicas para:
a) realizar el seguimiento de toda la información en su sistema relacionada al solicitante,
b) revisar y aprobar el derecho al acceso, y
c) proporcionar esa información al solicitante.
Estos procedimientos pueden involucrar un considerable esfuerzo manual que distraiga a su equipo de otros proyectos críticos. Usted puede simplificar el trabajo al automatizar estos procedimientos e implementar registros de acceso. Cuando tranfiere información, ya sea a los sujetos de datos o a terceros, garantice su seguridad con una gestión segura de transferencia de archivos.
3. Derecho a la corrección (“Rectificación”)
Artículos de GDPR: 12, 16
¿Qué significa para los individuos? Un sujeto a datos tiene el derecho a obtener la corrección de datos que estén incompletos o incorrectos.
¿Cómo lo implemento en mi organización? Implemente procedimientos y capacidades técnicas para:
a) revisar y aprobar una solicitud de derecho a acceso,
b) corregir los datos, y
c) confirmar la corrección al solicitante.
Como esto también aplica a los datos que su organización haya enviado a terceros, necesita un procedimiento para informar de forma segura su corrección. Respalde su implementación mediante la automatización de procesos y gracias al uso de una gestión segura de archivos.
4. Derecho a la eliminación (Derecho a ser olvidado)
Artículos de GDPR: 12, 17
¿Qué significa para los individuos? Un sujeto a datos tiene el derecho de tener sus datos personales eliminados de forma permanente.
¿Cómo lo implemento en mi organización? Implemente procedimientos y capacidades técnicas para:
a) realizar un seguimiento de todos los datos existentes en su sistema relacionados con el solicitante,
b) revisar y aprobar una solicitud de derecho a eliminación,
c) eliminar todos los datos en la solicitud, y
d) confirmar la eliminación al solicitante.
Además, implemente procedimientos y capacidades técnicas para:
- Borrar automáticamente datos luego de un período determinado de retención, a menos que los datos sean aún requeridos.
- Informar a otros procesadores a los que se les trasmitió la información de solicitud.
- Recibir solicitudes de derecho a eliminación de parte de otros controladores de datos o procesadores, y ejecutarla.
Defina un procedimiento seguro y altamente automatizado para: revisar y aprobar solicitudes entrantes de Derecho de Eliminación, informar a los procesadores sobre solicitudes de Derecho de Eliminación, eliminar datos como respuesta a las solicitudes de Derecho de Eliminación recibidas, y eliminar automáticamente datos que ya no son requeridos (como cuando finaliza un plazo legal de retención).
5. Derecho a restringir el procesamiento
Artículos de GDPR: 12, 18
¿Qué significa para los individuos? Un sujeto a datos tiene el derecho de bloquear o suprimir sus datos personales en el momento en que están siendo procesados o en uso.
¿Cómo lo implemento en mi organización? Implemente procedimientos y capacidades técnicas para:
a) realizar el seguimiento de todos los datos del solicitante existentes en su sistema,
b) revisar y aprobar una solicitud de derecho a la restricción del procesamiento,
c) pausar el procesamiento sin eliminar los datos, y
d) confirmar la restricción del procesamiento al solicitante.
Defina un proceso automatizado y seguro para: revisar y aprobar solicitudes entrantes de Derecho a la Restricción del Procesamiento, informar a los procesadores de las solicitudes, y restringir (pausar) el procesamiento de datos.
6. Derecho a la portabilidad de datos
Artículos de GDPR: 12, 20
¿Qué significa para los individuos? Un sujeto de datos tiene el derecho de mover, copiar, o tranferir datos personales de un controlador a otro, de una forma segura, en un formato legible y comúnmente usado.
a) realizar el seguimiento de todos los datos del solicitante existentes en su sistema,
b) revisar y aprobar una solicitud de portabilidad de datos,
c) transferir datos a otros controladores o al solicitante, de forma segura, y
d) confirmar la transferencia al solicitante.
Automatice y asegure los procedimientos para revisar y aprobar solicitudes entrantes de Derecho de Portabilidad de Datos, y proporcionar al solicitante el acceso al paquete de datos correspondiente.
7. Derecho a objetar el procesamiento
Artículos de GDPR: 12, 21
¿Qué significa para los individuos? Un sujeto de datos tiene el derecho a objetar el hecho de ser sujeto para autoridades públicas o empresas que procesen sus datos sin un consentimiento explícito.
Un sujeto de datos también tiene el derecho a detener la inclusión de sus datos personales en bases de datos de marketing directo.
¿Cómo lo implemento en mi organización? La combinación de los procesamientos y capacidades técnicas para la restricción, limitación y eliminación de datos de personas descripta anteriormente, es suficiente.
Automatice y asegure su transferencia de archivos, defina procedimientos de revisión y aprobación de solicitudes entrantes de Derecho a Objetar el Procesamiento, e informe a los procesadores de la solicitud.
8. Derecho a no ser sujeto de toma de decisiones automatizadas
Artículos de GDPR: 12, 22
¿Qué significa para los individuos? Un sujeto de datos tiene el derecho de solicitar intervención humana en la toma de decisiones, en lugar de ser objetivo de decisiones tomadas solamente por algoritmos.
¿Cómo lo implemento en mi organización? Informe a las personas que serán sujetos de decisiones tomadas por algoritmos y que pueden desuscribirse de ellas. Implemente procedimientos y capacidades técnicas para:
a) realizar el seguimiento de todos los datos del solicitante existentes en su sistema,
b) revisar y aprobar una solicitud del Artículo 22,
c) revertir las decisiones tomadas por el algoritmo, y
d) proporcionar toda la información a un decisor humano.
Ayude a su implementación con la definición de un proceso para revisar y aprobar solicitudes entrantes de Derecho a No Ser Sujeto de Decisiones Automatizadas, para informar a los procesadores acerca de la solicitud, y para reunir un paquete de información para ser usado por un decisor humano.
Notas adicionales:
Los derechos de sujetos de datos, como el Derecho al Acceso, son normalmente ejercidos por individuos, los mismos sujetos de datos.
En algunos contextos legales, como la aplicación de una ley o situaciones de seguridad, el derecho de los sujetos de datos es reemplazado por los requerimientos de una autoridad de supervisión para monitorizar o auditar con regularidad el procesamiento de datos.
Los requerimientos básicos subyacentes son los mismos en ambos casos: debe ser capaz de revisar y aprobar una solicitud entrante y satisfacer las solicitudes de información, eliminación, etc.
Fortra está aquí para ayudarle
Las soluciones de Fortra pueden ayudarlo en los procesos para implementar la obligatoriedad de los derechos de sujetos de datos. Nuestras soluciones ayudan a su implementación, al proporcionar amplias capacidades de automatización de procesos, registro de accesos, y transferencia segura de archivos.
1) Automatización de procesos
Los derechos de sujetos de datos requieren que defina y documente un proceso de negocio correspondiente. La automatización le permite agilizar esos procesos, asegurar la alta eficiencia y proporcionar una respuesta consistente a estas solicitudes de servicio.
La mayoría de estos procesos consistirán en elementos manuales y elementos automatizados o automatizables. Por ejemplo, la revisión y aprobación de una solicitud entrante de derecho a accesos puede incluir una verificación manual de documentos. Fortra le ofrece soluciones que pueden ayudarlo a crear estos procesos híbridos, automáticos-manuales, con soluciones como Automate, Webforms y Sign Here.
2) Access Logging Registro de accesos
El derecho de acceso signifca que usted debe proporcionar, a pedido, información sobre qué datos personales fueron recolectados, y cómo fueron modificados y leídos luego de su recolección inicial. Para capturar esta información, los procesos manuales son insuficientes. Además, para documentar claramente sus flujos de datos, necesitará registrar automáticamente los accesos a datos personales y ser capaz de consultar esa información.
Fortra ofrece soluciones que capturan y registran los distintos accesos a datos. Para el universo de IBM i, ofrecemos capacidades de registro y generación de reportes, a través de nuestras soluciones de seguridad de datos Network Security, Command Security, Authority Broker, Compliance Monitor y Data Thread. La capacidades de registro también están presentes en nuestra solución de gestión de transferencia de archivos GoAnywhere MFT.
3) Transferencia Segura de Archivos
Implementar los procesos de derechos de sujetos de datos requiere que su organización mueva datos de un punto A a un punto B, en forma segura. Un proceso de Derecho al Acceso, por ejemplo, requiere que proporcione al solicitante un paquete de todos los datos personales que ha recolectado sobre ese sujeto, así como la forma en que esos datos fueron procesados y accedidos.
Como esta recolección en sí misma representa datos personales, se aplican las mismas garantías que a los datos recolectados originalmente, incluyendo la necesidad de proteger esta información en reposo o en movimiento.
Proporcionar un paquete de este tipo puede requerir reunir datos de distintos departamentos dentro de su organización, o incluso de distintas compañías, antes de ser ensambladas en un solo paquete para ser entregado al cliente.
Nuestra solución GoAnywhere Managed File Transfer le proporciona la capacidad de transferir o hacer accesible paquetes de información sensible, de forma segura. Además, gracias a las capacidades de automatización de GoAnywhere MFT, también puede integrar la provisión de datos en un workflow más completo de Derecho de Acceso construido con las soluciones de automatización de Fortra mencionadas anteriormente.
Para aprender más acerca de GDPR y los derechos de sujetos de datos, vea los siguientes recursos útiles:
- El texto completo de GDPR en 24 idiomas
- Artículo 29 sobre guías de trabajo grupal de portabilidad de datos
- Supervisor Europeo de Protección de Datos sobre derechos de sujetos de datos
Dé el próximo paso con GoAnywhere MFT
GoAnywhere MFT, nuestra solución de Transferencia Segura de Archivos, puede ayudarlo a cumplir los requisitos de GDPR.
Vea el webinar Asegure sus transferencias de archivos para cumplir con GDPR.