Prepárese para la GDPR con Trackforce

En Trackforce, nuestro principal negocio es la protección. Estamos comprometidos con la creación de confianza y transparencia con respecto a sus datos y a darle soporte al cumplimiento de nuestros clientes con la ley GDPR.

ACERCA DE LA GDPR

¿Qué es la GDPR?

La GDPR es una nueva ley exhaustiva de protección de datos (entra en vigencia a partir del 25 de mayo de 2018) en la Comunidad Europea que fortalece la protección de datos personales, a la luz de los desarrollos tecnológicos rápidos, el aumento de la globalización y flujos de datos personales más complejos e internacionales. Actualiza y reemplaza todas las leyes de protección de datos nacionales actualmente en vigencia, mediante un conjunto único de reglas.

¿Que había antes de la GDPR?

Los cambios principales son los siguientes: Mayores derechos de privacidad de datos para los ciudadanos de la Unión Europea, notificaciones de violación de datos y requerimientos agregados de seguridad para organizaciones, como así también requerimientos de monitoreo y evaluación por perfil de los clientes. La GDPR también incluye Reglas Corporativas vinculantes para que las organizaciones legalicen las transferencias de datos personales fuera de la Unión Europea, y una multa del 4% de sus ingresos globales para las organizaciones que no adhieran a la las obligaciones de cumplimiento con la GDPR. En general, la GDPR ofrece un punto central de aplicación al requerir que las compañías trabajen con una autoridad de supervisión líder, en lo referido a los problemas de protección de datos internacionales.

¿Se aplica la GDPR a mi compañía?

Si usted procesa datos personales en el contexto de una organización establecida en la Unión Europea, deberá cumplir con la GDPR, sin importar si está procesando datos personales dentro de la Unión Europea o no. “Procesar” significa cualquier operación llevada a cabo sobre los datos personales, como la recolección, almacenamiento, transferencia, difusión o borrado.

Si usted no está establecido en la Unión Europea, deberá cumplir con la GDPR si ofrece bienes o servicios (ya sean pagos o gratuitos) a los sujetos de datos de la Unión Europea o monitorea el comportamiento de sujetos de datos de la Unión Europea dentro de la Unión Europea. El monitoreo puede ser cualquier actividad desde colocar cookies en un sitio web para hacer el seguimiento del comportamiento de navegación de los sujetos de datos, hasta actividades de supervisión tecnológica elevada.

Bajo las leyes de protección de datos europeas, las organizaciones que procesan datos personales están divididas entre “Controladores”, o las entidades que controlan los datos personales, y “Procesadores”, las entidades que procesan los datos personales solamente a partir de las instrucciones de los Controladores. La GDPR se aplica tanto a los Controladores como a los Procesadores.

Advertencia

Esta carta no es una obra maestra respecto de la privacidad de los datos de la Unión Europea, ni un asesoramiento legal que su compañía pueda utilizar para darle cumplimiento a leyes de privacidad de datos de la Unión Europea como la GDPR. Por lo tanto, no debe considerarse a este texto como un asesoramiento legal, ni tampoco como una recomendación con respecto a cualquier razonamiento legal en particular.

A continuación, una lista de preguntas para evaluar su nivel de cumplimiento con la GDPR:

questions list

“¿Qué datos personales
recolectamos/almacenamos? ”

“¿Estamos transfiriendo los
datos personales fuera de la
Unión Europea? Si la respuesta
es afirmativa, ¿contamos con las
protecciones adecuadas?”

“¿Estamos recolectando o procesando cualquier
categoría especial de datos personales, como
los “Datos Personales Sensibles”, datos
de menores, datos genéticos o biométricos,
etc.? Si la respuesta es afirmativa, ¿estamos
cumpliendo con las normas para recopilarlos,
procesarlos y almacenarlos?”

“¿Estamos manteniéndolos seguros y protegidos
utilizando los niveles apropiados de seguridad
para esos riesgos? Por ejemplo,
¿será necesario implementar un cifrado
o la utilización de seudónimos para proteger
los datos personales que conservamos?
¿Estamos limitando el acceso para
garantizar que solamente se utilice
los datos con sus propósitos establecidos?”

“¿Estamos garantizando que no
conservaremos esos datos por más
tiempo del necesario y que los mantendremos
actualizados?”

“¿Los hemos obtenido de manera
correcta? ¿Contamos con los
consentimientos necesarios requeridos
y fueron los sujetos de datos
informados con respecto a los
propósitos específicos para los cuales
utilizaremos sus datos? ¿Fuimos claros
y sin ambigüedad con respecto a esos
propósitos y fueron ellos informados
de su derecho de revocar su
consentimiento en cualquier momento?”

¿Qué es lo que va a cambiar bajo la GDPR?

icon

Derechos
Individuales

icon

Procedimientos
Internos

icon

Autoridades de
Supervisión

icon

Alcance,
Responsabilidad
y Multas

Consentimiento

Toda vez que un sujeto de datos esté a punto de enviar su información personal, el controlador de datos (por lo general una compañía) debe asegurarse de que el sujeto de datos ha otorgado su consentimiento. La GDPR aumenta el estándar de autorizaciones para obtener consentimiento, ya que deben ser “otorgados libremente, específicos, a partir de información y sin ambigüedad”, y los controladores deben utilizar un lenguaje legal “claro y simple” que sea “claramente distinguible de otros asuntos”. También se les requerirá a los controladores que ofrezcan evidencia del cumplimiento de sus procesos y que dicho proceso se cumple en cada caso. Anteriormente, bajo la DPD, el consentimiento podía ser deducido de una acción o inacción, en circunstancias en donde la acción o inacción significaban el consentimiento claramente. Por lo tanto, la Directiva dejaba abierta la posibilidad de un mecanismo de “opción por la negativa”. Sin embargo, eso se modificará bajo la GDPR, la cual requiere que el sujeto de datos manifieste su acuerdo a través de “una declaración o una acción claramente afirmativa”.

Esencialmente, su cliente no puede ser forzado a otorgar su consentimiento, o no tener conocimiento de que está otorgando su consentimiento para el procesamiento de sus datos personales. También deben saber exactamente qué es a lo que están prestando su consentimiento y deben ser informados por adelantado de su derecho de revocar ese consentimiento. Obtener consentimiento requiere de una indicación positiva de acuerdo — no será posible deducirlo a partir del silencio, casillas tildadas previamente o la inactividad. Esto significa que ofrecerle información al usuario durante la opción positiva se está transformando en algo más importante para el futuro.

Nuevos Derechos de los Individuos

La norma también incorpora dos nuevos derechos para los sujetos de datos: un “derecho a ser olvidado” que requiere que los controladores alerten a los receptores siguientes de las solicitudes de eliminación y un “derecho a la portabilidad de los datos” que permite que los sujetos de datos soliciten una copia de sus datos en un formato común. Estos dos derechos harán que sea más fácil para los usuarios solicitar que cualquier información almacenada sea eliminada o que esa información que ha sido recolectada sea compartida con ellos.

Solicitudes de Acceso

Los sujetos de datos siempre tuvieron derecho a solicitar el acceso a sus datos. La GDPR amplía estos derechos. En la mayoría de los casos, usted no podrá cobrar por procesar una solicitud de acceso, a menos que pueda demostrar que el costo será excesivo. El periodo de tiempo de procesamiento de una solicitud de acceso también se reducirá a un período de 30 días. En ciertos casos, las organizaciones pueden rechazar el otorgamiento de una solicitud de acceso, por ejemplo cuando la solicitud se considere manifiestamente infundada o excesiva. Sin embargo, las organizaciones deberán contar con procedimientos y políticas de rechazo claros y establecidos y demostrar por qué la solicitud cumple con estos criterios.

¿Qué debe hacer el cliente? A continuación, una lista.

steps

Obtener aceptación y compromiso y conformar un equipo.

  • Aumentar la percepción de la importancia del cumplimiento con la GDPR con los líderes de la organización.
  • Obtener el apoyo ejecutivo con respecto a las inversiones financieras y recursos de personal necesarios.
  • Elegir a una persona para que lidere los esfuerzos para cumplir con la GDPR.
  • Conformar un comité orientador a partir de líderes funcionales clave.
  • Identificar defensores de la privacidad en toda la organización.

Evaluar la organización.

  • Revisar los esfuerzos de seguridad y privacidad existentes para identificar las necesidades.
  • Identificar todos los sistemas en donde la organización almacena datos personales y crear
    un inventario de datos.
  • Crear un registro de las actividades de procesamiento de datos y llevar adelante una
    evaluación de impacto de privacidad para cada actividad de alto riesgo.

Establecer controles y procesos.

  • Garantizar que las notificaciones de privacidad se muestren siempre que se recopilen datos personales.
  • Implementar controles para limitar la utilización de datos por parte de la organización
    a sólo aquellos propósitos para los cuales se recopilaron los datos.
  • Establecer mecanismos para gestionar las preferencias de consentimiento de los sujetos de datos.
  • Implementar los procesos y las medidas de seguridad tecnológicas, físicas y administrativas adecuadas
    para detectar y responder a violaciones de la seguridad.
  • Establecer procedimientos para responder a las solicitudes de los sujetos de datos con respecto
    al acceso, rectificación, oposición, restricción, portabilidad y borrado (derecho a ser olvidado).
  • Acordar contratos con afiliadas y vendedores que recolecten o reciban datos personales.
  • Establecer un proceso de evaluación de impactos de privacidad.
  • Administrar la privacidad del vendedor y del empleado y ofrecer capacitación con respecto a la seguridad.

Cumplimiento de los documentos.

  • Recopilar copias de las notificaciones de privacidad y formularios de consentimiento, el
    inventario de datos y registro de las actividades de procesamiento de datos, procedimientos
    y políticas escritos, materiales de capacitación, acuerdos de transferencia de datos dentro
    de la compañía, y contratos con los vendedores.
  • ISi es necesario, designar un funcionario de protección de datos e identificar
    la autoridad de supervisión de la Unión Europea adecuada.
  • Realizar evaluaciones de riesgos periódicas.

RECORRIDO DE TRACKFORCE HACIA EL CUMPLIMIENTO CON LA GDPR

Trackforce está dedicándose a ayudar a sus clientes a cumplir con la GDPR. Hemos analizado
exhaustivamente los requerimientos de la GDPR y estamos trabajando en la implementación de mejoras a nuestros productos, contratos y documentación, a fines de darle soporte al cumplimiento con la GDPR.

Hoja de Ruta del Producto

Derecho a Ser Olvidado

Tal vez deba eliminar el historial de datos de cliente para cumplir con las normas de privacidad y protección de datos. Trackforce le ofrecerá opciones de períodos de retención que podrán ser aplicados a:

Tipo de Datos Personales Max. Periodo de Retención Periodo de Retención de Publicación de Acción
Archivos de medios personales
(fotos y vídeos)
hasta 3 meses luego de
su creación
borrados.
Datos de visitantes hasta 3 meses luego de
la visita
datos convertidos en anónimos
Historial de datos de GPS hasta 6 meses luego de
su creación
borrados.
Datos de capacitación hasta 12 meses luego de la
desafectación de un empleado
borrados.
Todos los informes hasta 5 años luego de su creación borrados.
Los distintos campos de
plantillas de actividades
hasta 5 años luego de su creación datos convertidos en anónimos

A continuación le mostramos cómo puede configurar los parámetros de GDPR:

  • Ingrese en settings > account settings.
  • Haga clic en “GDPR settings”.
  • Para cada categoría, seleccione el Período de Retención de Datos general (el período más largo posible será el que aparezca por defecto).
  • Puede configurar distintos periodos de retención para los distintos clientes utilizando la opción “setup exceptions for customers “.
  • Para obtener instrucciones adicionales, vea el video a continuación

Por parte de usted, luego de la finalización de la relación comercial con un cliente, usted podrá conservar los datos personales del cliente durante 5 años y sus archivos de medios personales (fotos y vídeos) durante 3 meses.

Portabilidad de los Datos

Puede utilizar la Plataforma Trackforce para satisfacer las solicitudes de sus clientes con respecto a exportar sus datos. Es posible extraer datos luego de una solicitud.

Seguridad

Trackforce incorpora características de seguridad en cada capa de la plataforma. La capa de infraestructura ofrece replicación, respaldo, cifrado y Recuperación ante Desastre. Los servicios de red ofrecen cifrado en tránsito y detección avanzada de amenazas con IPS/IDS. Nuestros servicios de aplicación implementan la autenticación de la identidad con dos factores y permisos de los usuarios.

Restricción de Procesamiento

Trackforce está mejorando sus productos de manera de que los Controladores o Procesadores pueden restringir técnicamente la utilización de datos personales (por ejemplo, al limitar el acceso a los informes o al asignar a un sujeto de datos datos personales para sitios de cuenta específicos). En cada PDF o correo electrónico enviado por la aplicación aparecerá visible un aviso, en donde se solicita la eliminación del documento al finalizar el periodo de retención (estará indicada la fecha exacta).

Nuestra Documentación Legal

Responsabilidad/Transparencia

Consentimiento

Ya que mayo de 2018 es una fecha cercana, Trackforce ha nombrado un Ejecutivo de Protección de Datos (DPO) y está concentrada en los esfuerzos de cumplimiento con la GDPR. Nuestro equipo Legal está ocupado trabajando en garantizar que nuestra documentación legal (es decir nuestros Términos de Servicio del Cliente, nuestro Contrato de Procesamiento de Datos y nuestra Política de Privacidad) sean actualizados para reflejar cualquier cambio del producto e incluir las cláusulas obligatorias de Procesador requeridas bajo el Artículo 28 de la GDPR.

También hemos asignado el correo electrónico dpo@trackforce.com para todas las preguntas y solicitudes relacionadas a la GDPR.

Preguntas Más Frecuentes

¿A quien debo contactar para obtener mis datos personales?

En relación a todas las preguntas referidas a la GDPR, debe enviar un correo electrónico a nuestro DPO dpo@trackforce.com

¿Qué documentos debo suministrar para obtener mis datos personales?

Debe suministrar cualquier documento que demuestre su identidad.

¿Es posible cambiar mi configuración de GDPR una vez que ha sido establecida?

Sí, es posible hacerlo en cualquier momento.

¿Por cuánto tiempo conservan los datos de los clientes?

Cada cliente define su periodo de retención preferido, dentro de las limitaciones de la ley de GDPR.

¿Qué debo hacer si un cliente desea borrar sus datos con anterioridad a los demás?

Puede crear excepciones en la página de configuración

¿Es posible recuperar mi datos una vez que se han convertido en anónimos?

La conversión de datos en anónimos, según lo define la GDPR, es irreversible.

Qué tipo de datos personales recopilan?

Esto depende de la firma de seguridad, por favor póngase en contacto con ellos o su DPO, si es que cuentan con un DPO.

¿Qué tipo de datos de su plataforma quedan sujetos al cumplimiento con la GDPR?

Archivos de medios con datos personales, historial de GPS, datos de visitante, datos de empleado, campos de datos personales en plantillas de actividades (depende de cada cliente definir cuáles son los datos que debe proteger).

¿Qué sucede si debo documentar un incidente serio ante las compañías de seguros o ante la justicia?

Es responsabilidad del cliente descargar cualquier informe requerido antes de la finalización del período de retención. Luego de transcurrido este periodo, no le será posible a Trackforce recuperar sus datos.

¿Qué sucede si se envía un correo electrónico con información mía (o de mis empleados)?

Todo PDF o correo electrónico enviado por la aplicación contendrá un aviso visible. El receptor del documento será responsable de cumplir con los requisitos de la GDPR.

¿Puede una subsidiaria de Trackforce acceder a los datos de una subsidiaria de otro país?

No. Los datos personales están configurados en silos y están segmentados entre una subsidiaria y otra subsidiaria. Cada subsidiaria solamente puede acceder a sus propios datos.

¿Puede Trackforce obligar a sus procesadores a cumplir con la GDPR?

No. Sin embargo, a partir del 25 de mayo de 2018 Trackforce solamente trabajará con aquellos subcontratistas que presenten las suficientes garantías de cumplimiento con la GDPR.

13. ¿Qué sucederá si Trackforce desarrolla nuevas soluciones de software en el futuro, que no estén incluidas en el cumplimiento actual con la GDPR?

Para garantizar que continúa cumpliendo con la GDPR, Trackforce realizará una Evaluación de Impacto sobre la Privacidad (PIA) para cada nuevo lanzamiento de producto.