Principios básicos sobre el tratamiento de datos personales,
nota: artículo 5 del RGPD, “el responsable del tratamiento será responsable del cumplimiento de los principios y será capaz de demostrarlo”
Los datos personales serán tratados de forma legal imparcial transparente en relación con el interesado,
Los datos personales deben de ser recogidos con fines determinados, explícitos legítimos, no serán tratados a posteriori con otros fines.
Minimización de datos: los datos personales deben de ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para lo que se solicitan. En la medida de la capacidad de la empresa y el nivel de los datos personales utilizados, se aplicarán las técnicas de “Anonimización” y “Seudonimización”, para un mejor control y reducción del riesgo.
Los DP que utiliza la organización serán exactos, estableciéndose las medidas adecuadas para su verificación y mantenimiento en caso de ser necesario modificarlos.
Plazo de conservación de los datos limitado a la finalidad por la que fueron recabados, y al cumplimiento de las leyes que puedan solicitarlos.
Para mantener la integridad y confidencialidad de los DP, la compañía teniendo en cuenta el coste de implementación y la gravedad de los riesgos detectados en la ENTIDAD utilizará la tecnología y los sistemas disponibles para garantizar una seguridad apropiada para los DP y se asegurara que no haya un tratamiento ilícito, no autorizado, la pérdida destrucción o daño de los DP.
La ENTIDAD, verificará que los responsables de tratamiento sean proactivos en estos principios y que tengan la capacidad para demostrarlo.
Principios de aplicación de DP en la actividad de la empresa.
Para poder demostrar el cumplimiento con los requisitos y principios de la protección de datos (RGPD), la organización establece la protección de datos formando parte de su actividad.
El tratamiento de datos personales en la actividad empresarial debe ser autorizado de forma expresa por parte del responsable (delegado de protección de datos) a cargo de la protección de datos.
Aviso a los interesados.
En el momento de la recogida o antes de la recogida de DP, para cualquiera de las actividades que realiza la empresa que requiera tratamiento de DP, se ha de informar adecuadamente a los interesados sobre los tipos de datos personales recogidos, el fin del tratamiento, el método de tratamiento de dichos datos, los derechos de los interesados respecto a sus datos personales, el periodo de retención, las posibles transferencias de datos internacionales (si las hubiera), y si los datos serán compartidos con terceros así como las medidas de seguridad que la empresa aplica para proteger dichos datos. Esta información se proporciona al interesado mediante un aviso de privacidad
Elección y consentimiento del interesado:
El responsable a cargo de la protección de datos debe conservar registro de los consentimientos y proporcionar de forma fácil a los interesados las opciones para proporcionar dicho consentimiento, así como informar y garantizar de la revocación del mismo en cualquier momento. (Nota, para menores de 16 años se debe de recoger el consentimiento paterno antes de la recogida de los datos).
El responsable a cargo de la protección de datos de la empresa debe asegurarse que las solicitudes para corregir, modificar o destruir registros se tramitan en un marco de tiempo razonable, registrando y asegurando dichas solicitudes se mantengan de forma adecuada.
Los datos personales recogidos sólo se deben de tratar para el propósito el que se recogieron inicialmente, para cualquier otro tipo de tratamiento o uso se debe de volver a solicitar el consentimiento por parte del interesado de forma clara y concisa. Cualquier solicitud en este sentido debe de recoger la finalidad inicial y las nuevas finalidades, así como el motivo de cambio.
Todos estos requisitos, de recogida pertinentes, las buenas prácticas y los estándares de protección de datos personales en la industria, son responsabilidad del encargado de datos de la empresa.
Recogida de datos:
La empresa se esforzará por recoger la menor cantidad posible de datos personales. Si los DP, se recogieran de un tercero, el encargado de protección de datos de la empresa debe asegurarse que son recogidos legalmente.
Uso, retención y eliminación.
La finalidad, los métodos, la limitación de almacenamiento y el periodo de retención de datos personales debe ser coherente con la información contenida en el aviso de privacidad. La compañía mantendrá la decisión, integridad, confidencialidad y pertinencia de DP, en función de la finalidad tratamiento.
La empresa utilizará los mecanismos de seguridad de adecuados para proteger los DP de robo, uso indebido, o abuso y evitar violaciones de seguridad de los mismos.
Comunicación a terceros.
Cuando la empresa utilice proveedor o socio para tratar los DP en su nombre, debe asegurarse, que dichos encargados proporcionarán las medidas de seguridad y confidencialidad adecuadas para el tratamiento encargado (solicitado o contratado). La empresa exigirá de forma contractual (mediante contrato) que se proporcionen dichos niveles de protección adecuados al nivel de los datos, que el proveedor cumplirá con sus obligaciones siguiendo las directrices de la empresa, y se compromete a no utilizarlos para otros fines. Se debe de especificar de manera explícita las responsabilidades de la empresa y las responsabilidades del tercero (encargado de tratamiento).
Transferencias internacionales de datos personales (afuera de la UE).
En caso de que la empresa necesite transferir DP fuera del ámbito del área económica europea (AEE), deben de emplearse y solicitarse las garantías adecuadas, incluyendo la firma del acuerdo de transferencia de datos, así como si es necesario obtener la autorización pertinente por parte de la autoridad competente en protección de datos. La empresa se asegurará que la entidad que recibe los datos de carácter personal cumple con los principios de tratamiento establecidos por la UE.
Derecho de acceso de los interesados.
Se proporcionará a los interesados un mecanismo de acceso de a sus datos que sea razonable, así como actualizarlos, rectificarlos, borrarlos o transmitirlos cuando corresponda o sea requerido por la ley. Dicho procedimiento o mecanismo se detallará en el documento de solicitud de acceso al interesado.
Portabilidad de datos.
Los sujetos de los datos (propietarios) tienen derecho a recibir, previa solicitud, una copia de los datos que proporciona a la empresa en un formato estructurado de forma que dichos datos se puedan transmitir al responsable de forma gratuita. El responsable de la gestión de datos de carácter personal de la empresa garantizará que dichas solicitudes se procesen menos de un mes, que no afecten a los derechos de los datos personales de las personas.
Actividades de control de Faro Sistemas.
Respuesta violaciones de seguridad de datos
Cuando la empresa detecta una violación de seguridad de datos personales aun no existiendo confirmación real de la misma, el responsable de datos del delito en investigación interna tomar las medidas adecuadas en tiempo y forma de acuerdo con la política violación de seguridad si además existe un riesgo para los derechos y libertades de los interesados cuyos datos han sido violados, la compañía debe notificar a las autoridades de protección de datos dicha violación la acción indebida a ser posible dentro de las 72 horas siguientes, a la detección.
Auditoría y responsabilidad proactiva.
El departamento de auditoría (legal o similar) el responsable de establecer los seguimientos que considere adecuados en todos los departamentos y áreas en los que simplemente esta política.
Cualquier empleado que viole esta política transcrita medidas disciplinarias, y estar sujeto a responsabilidades civiles o penales en función de su conducta y violación de leyes o reglamentos.
Conflictos con la legislación.
Esta política datos personales está destinada a cumplir y hacer cumplir las leyes y reglamentos lugar donde se establezca y por ende en los países en los que la empresa opere. Si entrara en conflicto con las leyes o reglamentos aplicables se someterá a estos últimos.
Derecho al olvido.
Previa solicitud, los interesados tienen derecho al borrado total de sus datos personales que en su momento se dieron a la empresa. La empresa establecerá las medidas necesarias de informar a terceros que usen o procesan dichos datos para cumplir dicha solicitud. (Formulario comunicación SAI)
Para cualquier aclaración o consulta que necesites puedes ponerte en contacto con nosotros por medio del correo electrónico, consultor@prevencionriesgospenales.com
Prevencion Riesgos Penales
Copyright © 2021 Prevencion Riesgos Penales - All Rights Reserved.
Powered by GoDaddy