Prepárese para el GDPR con Trackforce Valiant

En Trackforce Valiant, la protección es nuestra actividad principal. Nos comprometemos a generar confianza y transparencia en torno a sus datos y a apoyar el cumplimiento del GDPR por parte de nuestros clientes.

Sobre el GDPR

¿Qué es el GDPR?

El RGPD es una nueva ley integral de protección de datos (en vigor el 25 de mayo de 2018) en la UE que refuerza la protección de los datos personales a la luz de los rápidos avances tecnológicos, la creciente globalización y los flujos internacionales de datos personales más complejos. Actualiza y sustituye todas las leyes nacionales de protección de datos (emitidas a partir de la Directiva de Protección de Datos de la UE de 1995: DPD) actualmente en vigor con un único conjunto de normas.

¿Cómo era antes del GDPR?

Los principales cambios son los siguientes: Ampliación de los derechos de privacidad de datos para las personas de la UE, notificación de violaciones de datos y requisitos de seguridad añadidos para las organizaciones, así como requisitos de perfilado y seguimiento de los clientes. El RGPD también incluye normas corporativas vinculantes para que las organizaciones legalicen las transferencias de datos personales fuera de la UE y una multa de 4% de ingresos globales para las organizaciones que no se adhieran a las obligaciones de cumplimiento del RGPD. En general, el RGPD proporciona un punto central de aplicación al exigir a las empresas que trabajen con una autoridad de supervisión principal para los problemas de protección de datos transfronterizos.

¿Se aplica el GDPR a mi empresa?

Si está tratando datos personales en el contexto de una organización establecida en la UE, se le aplicará el RGPD, independientemente de si está tratando datos personales en la UE o no. “Tratamiento” significa cualquier operación realizada sobre los datos personales, como la recogida, el almacenamiento, la transferencia, la difusión o la supresión.

Si no está establecido en la UE, el RGPD se le aplica si ofrece bienes o servicios (ya sean de pago o gratuitos) a los interesados de la UE o si controla el comportamiento de los interesados de la UE dentro de la UE. El control puede consistir en cualquier cosa, desde la colocación de cookies en un sitio web hasta el seguimiento del comportamiento de navegación de los interesados, pasando por actividades de vigilancia de alta tecnología.

De acuerdo con la legislación europea de protección de datos, las organizaciones que procesan datos personales se dividen en “Controladores”, o las entidades que controlan los datos personales, y “Procesadores”, las entidades que procesan los datos personales sólo bajo las instrucciones de los Controladores. El RGPD se aplica tanto a los responsables como a los encargados del tratamiento.

Descargo de responsabilidad

Esta carta no es un magnum opus sobre la privacidad de los datos de la UE ni un consejo legal para que su empresa lo utilice en el cumplimiento de las leyes de privacidad de datos de la UE como el GDPR. Por lo tanto, no puede basarse en este documento como asesoramiento jurídico, ni como recomendación de ningún entendimiento jurídico concreto.

Esta es una lista de preguntas para evaluar su nivel de cumplimiento con el GDPR:

  • “¿Qué datos personales recogemos/almacenamos?”
  • “¿Estamos transfiriendo los datos personales fuera de la UE y, si es así, tenemos las protecciones adecuadas?”
  • “¿Recogemos o tratamos alguna categoría especial de datos personales, como los “sensibles”?
  • Datos personales”, datos de niños, datos biométricos o genéticos, etc. y, en caso afirmativo, ¿cumplimos las normas para recogerlos, procesarlos y almacenarlos?”
  • “¿Estamos manteniendo la seguridad utilizando un nivel de seguridad adecuado al riesgo? Por ejemplo, ¿se requerirá el cifrado o la seudonimización para proteger los datos personales que tenemos? ¿Limitamos el acceso para asegurarnos de que sólo se utilizan para los fines previstos?”
  • “¿Nos aseguramos de no retenerlo más tiempo del necesario y de mantenerlo actualizado?”
  • “¿Lo hemos obtenido de forma justa? ¿Tenemos los consentimientos necesarios requeridos y se informó a los interesados de la finalidad específica para la que utilizaremos sus datos? ¿Hemos sido claros e inequívocos sobre esa finalidad y se les ha informado de su derecho a retirar el consentimiento en cualquier momento?”

 

¿Qué cambiará con el RGPD?

Consentimiento

Siempre que un sujeto de datos esté a punto de enviar su información personal, el responsable del tratamiento (normalmente una empresa) debe asegurarse de que el sujeto de datos ha dado su consentimiento. El RGPD eleva el nivel de exigencia de la información cuando se obtiene el consentimiento, ya que debe ser “libremente otorgado, específico, informado e inequívoco”, y los responsables del tratamiento deben utilizar un lenguaje jurídico “claro y sencillo” que sea “claramente distinguible de otras cuestiones”. Los responsables del tratamiento también tendrán que demostrar que sus procesos son conformes y se siguen en cada caso. Anteriormente, en virtud de la DPD, el consentimiento podía inferirse de una acción o inacción en circunstancias en las que la acción o inacción significaba claramente el consentimiento. Así, la Directiva dejaba abierta la posibilidad de un mecanismo de “exclusión”. Sin embargo, esto cambiará con el RGPD, que exige que el interesado manifieste su acuerdo mediante “una declaración o una acción afirmativa clara”.

Esencialmente, no se puede obligar al cliente a dar su consentimiento, ni a desconocer que está consintiendo el tratamiento de sus datos personales. También debe saber exactamente a qué está dando su consentimiento y debe ser informado por adelantado de su derecho a retirarlo. La obtención del consentimiento requiere una indicación positiva del mismo, no puede deducirse del silencio, de las casillas previamente marcadas o de la inactividad. Esto significa que, en el futuro, será más importante informar al usuario durante el opt-in.

Nuevos derechos para los particulares

El reglamento también incorpora dos nuevos derechos para los interesados: el “derecho al olvido”, que obliga a los responsables del tratamiento a avisar a los destinatarios de las solicitudes de supresión, y el “derecho a la portabilidad de los datos”, que permite a los interesados exigir una copia de sus datos en un formato común. Estos dos derechos facilitarán que los usuarios soliciten la supresión de la información almacenada o que se comparta con ellos la información recopilada.

Solicitudes de acceso

Los interesados siempre han tenido derecho a solicitar el acceso a sus datos. Pero el RGPD mejora estos derechos. En la mayoría de los casos, no podrá cobrar por procesar una solicitud de acceso, a menos que pueda demostrar que el coste será excesivo. El plazo para procesar una solicitud de acceso también se reducirá a un periodo de 30 días. En algunos casos, las organizaciones podrán negarse a conceder una solicitud de acceso, por ejemplo cuando la solicitud se considere manifiestamente infundada o excesiva. Sin embargo, las organizaciones deberán contar con políticas y procedimientos de denegación claros y demostrar por qué la solicitud cumple estos criterios.

¿Qué debe hacer un cliente?
  • Conseguir la adhesión y crear un equipo
  • Concienciar a los líderes de la organización sobre la importancia del cumplimiento del GDPR
  • Obtener el apoyo del ejecutivo para los recursos de personal y las inversiones financieras necesarias
  • Elegir a alguien que lidere los esfuerzos para cumplir con el GDPR
  • Crear un comité directivo de líderes funcionales clave
  • Identificar a los defensores de la privacidad en toda la organización
Evaluar la organización
  • Revisar los esfuerzos existentes en materia de privacidad y seguridad para identificar las necesidades
  • Identifique todos los sistemas en los que la organización almacena datos personales, y cree un
  • inventario de datos
  • Crear un registro de actividades de tratamiento de datos y llevar a cabo un impacto sobre la privacidad
  • evaluación de cada actividad de alto riesgo
Establecer controles y procesos
  • Garantizar la presencia de avisos de privacidad en todos los lugares donde se recojan datos personales
  • Aplicar controles para limitar el uso de los datos por parte de la organización a los fines para los que
  • recogió los datos
  • Establecer mecanismos para gestionar las preferencias de consentimiento de los interesados
  • Aplicar las medidas de seguridad administrativas, físicas y tecnológicas adecuadas
  • y procesos para detectar y responder a las violaciones de la seguridad
  • Establecer procedimientos para responder a las solicitudes de acceso de los interesados,
  • rectificación, oposición, restricción, portabilidad y supresión (derecho al olvido)
  • Celebrar contratos con filiales y proveedores que recojan o reciban datos personales
  • Establecer un proceso de evaluación del impacto sobre la privacidad
  • Administrar la formación sobre privacidad y seguridad de empleados y proveedores
Hacer que los documentos sean conformes
  • Recopilar copias de los avisos de privacidad y los formularios de consentimiento, el inventario de datos y el registro de las actividades de procesamiento de datos, las políticas y los procedimientos escritos, los materiales de formación, los acuerdos de transferencia de datos dentro de la empresa y los contratos con los proveedores.
  • Si es necesario, designe un responsable de la protección de datos e identifique la autoridad de control de la UE correspondiente
  • Realizar evaluaciones de riesgo periódicas

El viaje de Trackforce hacia el cumplimiento del GDPR

Trackforce se dedica a ayudar a nuestros clientes a cumplir con el GDPR. Hemos analizado detenidamente los requisitos del GDPR, y estamos trabajando para realizar mejoras en nuestros productos, contratos y documentación para apoyar el cumplimiento del GDPR.

 

Hoja de ruta del producto

Derecho al olvido

 

Es posible que tenga que borrar el historial de datos de los clientes para cumplir con la normativa de protección de datos y privacidad. Trackforce le ofrecerá opciones de períodos de retención que pueden aplicarse a:
Tipo de datos personales Máximo. Período de retención Acción posterior al período de retención

Medios personales (fotos

y vídeos)

Hasta 3 meses después

creación

 Borrado
Datos de los visitantes

Hasta 3 meses después del

visite

 Anonimizado
El historial de datos del GPS

Hasta 6 meses después

creación

 Borrado
Datos de entrenamiento

Hasta 12 meses después

la salida del empleado

 Borrado
Todos los informes Hasta 5 años después de la creación Borrado

Las diferentes actividades

campos de la plantilla

 Hasta 5 años después de la creación Anonimizado

 

A continuación se explica cómo configurar los parámetros del GDPR:

  • Ir a la configuración > configuración de la cuenta
  • Haga clic en la configuración del GDPR
  • Para cada categoría, seleccione el Período de Conservación de Datos general (por defecto aparecerá el período más largo posible).
  • También puede establecer diferentes periodos de retención para diferentes clientes utilizando la opción de establecer excepciones para los clientes.

Por su parte, una vez finalizada la relación comercial con un cliente, puede conservar sus datos personales hasta 5 años y sus medios personales (fotos y vídeos) hasta 3 meses.

Portabilidad de los datos

Puede utilizar la Plataforma Trackforce para ayudarle a cumplir con las solicitudes de sus clientes para exportar sus datos. Los datos pueden ser extraídos bajo petición.

Seguridad

Trackforce tiene la seguridad integrada en cada capa de la plataforma. La capa de infraestructura cuenta con replicación, copia de seguridad, encriptación y recuperación de desastres. Los servicios de red tienen encriptación en tránsito y detección avanzada de amenazas con IPS/IDS. Nuestros servicios de aplicación implementan la identidad, la autenticación con dos factores y los permisos de usuario.

Restricción del tratamiento

Trackforce está mejorando sus productos para que los Controladores o Procesadores puedan restringir técnicamente el uso de los datos personales (por ejemplo, limitando el acceso a los informes o asignando los datos personales de un sujeto a sitios de cuentas específicos). Asimismo, se imprimirá un descargo de responsabilidad en cualquier PDF o correo electrónico enviado por la aplicación, solicitando la eliminación del documento al final del periodo de conservación (se indicará la fecha exacta).

Nuestra documentación legal

Responsabilidad/Transparencia

A medida que nos acercamos a mayo de 2018, Trackforce ha nombrado a un responsable de protección de datos (DPO) y se centra en los esfuerzos de cumplimiento del GDPR. Nuestro equipo legal está ocupado asegurando que nuestra documentación legal (a saber, nuestros Términos de Servicio del Cliente, nuestro Acuerdo de Procesamiento de Datos y nuestra Política de Privacidad) se actualizará para reflejar cualquier cambio en el producto y para incluir las disposiciones obligatorias del procesador requeridas por el artículo 28 del GDPR.

También hemos creado el correo electrónico dpo@trackforce.com para todas las preguntas y solicitudes relacionadas con el GDPR.

Consentimiento

A lo largo de nuestras medidas organizativas y documentación legal (a saber, nuestras Condiciones de Servicio del Cliente, nuestro Acuerdo de Procesamiento de Datos y nuestra Política de Privacidad), Trackforce garantiza que el sujeto de los datos ha dado su consentimiento según lo definido por el GDPR, tanto en las etapas de recopilación como de procesamiento.

PREGUNTAS FRECUENTES

¿A quién debo dirigirme para obtener mis datos personales?

Debe enviar un correo electrónico a nuestro DPO dpo@trackforce.com para todas las preguntas relacionadas con el GDPR.

 

¿Qué documentos debo aportar para obtener mis datos personales?

Deberá aportar cualquier documento que acredite su identidad.

 

¿Es posible cambiar mi configuración GDPR una vez creada?

Sí, en cualquier momento.

 

¿Cuánto tiempo conservan los datos de los clientes?

Cada cliente define su periodo de retención preferido dentro de las limitaciones de la ley GDPR

 

¿Qué debo hacer si un cliente quiere borrar sus datos más rápido que los demás?

Puede crear excepciones en la página de configuración

 

¿Es posible recuperar mis datos una vez anonimizados?

La anonimización, según la definición del GDPR, es irreversible.

 

¿Qué tipo de datos personales recogen?

Esto depende de su empresa de seguridad, por lo que le rogamos que se dirija a ella o a su DPO, si lo tiene.

 

¿Qué tipo de datos de su plataforma están sujetos al cumplimiento del GDPR?

Medios de comunicación con datos personales, historial de GPS, datos de los visitantes, datos de los empleados, campos de datos personales en las plantillas de actividades (depende de cada cliente definir los datos que necesita proteger).

 

¿Qué ocurre si tengo que documentar un incidente grave con las compañías de seguros o con la justicia?

Es responsabilidad del cliente descargar cualquier informe requerido antes de que finalice el periodo de retención. Una vez finalizado este periodo, Trackforce no podrá recuperar sus datos.

 

¿Qué ocurre si se envía un correo electrónico con mis datos (o los de mis empleados)?

Se imprimirá un descargo de responsabilidad en cualquier PDF o correo electrónico enviado por la aplicación. El destinatario del documento es responsable de cumplir con los requisitos del GDPR.

 

¿Puede una filial de Trackforce acceder a los datos de una filial de otro país?

No; los datos personales están aislados y segmentados de una filial a otra. Cada filial sólo puede acceder a sus propios datos.

 

¿Puede Trackforce obligar a sus procesadores a cumplir con el GDPR?

No; sin embargo, a partir del 25 de mayo de 2018, Trackforce solo recurrirá a subcontratistas que presenten garantías suficientes en cuanto al cumplimiento del GDPR.

 

¿Qué ocurrirá si Trackforce desarrolla en el futuro nuevas soluciones de software no incluidas en el actual cumplimiento del GDPR?

Con el fin de seguir cumpliendo con el GDPR, Trackforce llevará a cabo una Evaluación de Impacto en la Privacidad (PIA) para cualquier lanzamiento de un nuevo producto.