Introducción
La Unión Europea ha dado un paso monumental para proteger el derecho fundamental a la privacidad de todos los residentes de la UE con el Reglamento General de Protección de Datos (GDPR), que entrará en vigor el 25 de mayo de 2018. En pocas palabras, los residentes de la UE tendrán más poder de decisión sobre qué , cómo, por qué, dónde y cuándo se utilizan, procesan o eliminan sus datos personales. Esta regla aclara cómo las leyes de datos personales de la UE se aplican incluso más allá de las fronteras de la UE. Cualquier organización que trabaje con los datos personales de los residentes de la UE de cualquier manera, independientemente de su ubicación, tiene la obligación de proteger los datos.
Compromiso de Zoho
En Zoho, siempre han respetado el derecho de sus usuarios a la privacidad y protección de los datos. Nunca han confiado en la publicidad como una fuente de ingresos. Nunca han hecho anuncios a sus usuarios, y nunca lo harán. No los publican ni siquiera a los clientes que usan las ediciones gratuitas de los productos. Esto significa que no tienen necesidad de recopilar y procesar información personal de los usuarios más allá de lo que se requiere para el funcionamiento de sus productos.
A lo largo de los años, han demostrado el compromiso con la privacidad y protección de datos cumpliendo con los estándares de la industria para ISO 27001 y SOC2 Type 2. Ya cuentan con sólidos Acuerdos de Procesamiento de Datos, y los están revisando para cumplir con los requisitos del GDPR. Zoho Corporation participa de ello, además de certificar su cumplimiento del Marco de protección de la privacidad UE – EE.UU con respecto a la transferencia de datos a los EE. UU. Además, reconocen que el GDPR les ayudará a avanzar hacia los más altos estándares de operaciones en la protección de datos de los clientes.
¿Cómo se está preparando Zoho para GDPR?
Con más de 130 aplicaciones locales y en la nube utilizadas por más de 30 millones de usuarios en 190 países, Zoho (junto con sus divisiones comerciales ManageEngine y WebNMS) se está preparando para ser compatible con GDPR en todas sus aplicaciones, en cuanto el reglamento entre en vigor. Como procesador de datos, Zoho entiende su obligación de ayudar a los clientes a prepararse para el gran día. Han analizado a fondo los requisitos de GDPR y han puesto en marcha un equipo interno dedicado para impulsar a su organización a cumplir con ellos. Algunas de sus iniciativas en curso son:
- Identificación de datos personales: cada una de las 130 aplicaciones diferentes asume un nivel diferente de recopilación, uso, almacenamiento y eliminación de datos personales. Definir el alcance de los datos personales para cada una de estas aplicaciones y documentar las diversas fuentes de datos contribuirá en gran medida a proporcionar una hoja de ruta para el cumplimiento en los días previos a la implementación.
- Brindar visibilidad y transparencia: el aspecto más importante de GDPR es cómo se utilizan los datos recopilados. Como procesador de datos, la función clave de Zoho es proporcionar a los clientes (los controladores de datos) el acceso para administrar y proteger de manera efectiva sus datos de usuario. Zoho está explorando formas de mejorar de forma óptima los productos sin comprometer el rendimiento, de modo que puedan proporcionar una mayor transparencia a los clientes.
- Mejora de la integridad y la seguridad de los datos: la privacidad de los datos y la seguridad de los datos son dos caras de la misma moneda. A medida que los clientes ajusten sus medidas de seguridad de datos, Zoho desea extender una mano de ayuda. Están simplificando los procesos para sus aplicaciones en la nube mediante la implementación de políticas y procedimientos de IT que brindan seguridad de un extremo a otro.
- Portabilidad y transferibilidad de datos: GDPR brinda a los usuarios finales el derecho de recibir todos los datos proporcionados y procesados por el controlador o transferirlos a otro controlador dependiendo de la viabilidad técnica. Con esta novedad en mente, Zoho está trabajando en mejorar aún más sus capacidades de exportación de datos, incluso a nivel individual.
¿Qué significa esto para el cliente?
Entendemos que cumplir los requisitos de GDPR requerirá mucho tiempo y esfuerzo. Y como vuestro partner, queremos ayudarlo a que su proceso sea lo más transparente posible, para que no tenga que preocuparse por el cumplimiento y pueda concentrarse más en administrar su negocio. Algunas de las mejoras de los productos le ayudarán a:
- Proporcionar controles de acceso
- Cifrar, anonimizar o eliminar datos de usuario
- Realizar auditorías o evaluaciones de datos usando registros de procesamiento de datos
- Crear disposiciones para los derechos de los interesados
- Mejorar la seguridad de los datos del usuario
¿Qué deberías hacer para estar listo para GDPR?
Si estás comenzando con el cumplimiento de GDPR en tu organización, aquí hay una lista rápida de tareas para tener en cuenta.
- Crear un equipo de privacidad de datos para supervisar las actividades de GDPR y crear conciencia
- Revisar los procesos actuales de seguridad y privacidad vigentes y, cuando corresponda, revisar sus contratos con terceros y clientes para cumplir con los requisitos del GDPR.
- Identificar la información de identificación personal (PII) / datos personales que se están recopilando
- Analizar cómo esta información está siendo procesada, almacenada, retenida y eliminada
- Evaluar los terceros con quienes divulgas datos
- Establecer procedimientos para responder a los sujetos de datos cuando ejerzan sus derechos
- Establecer y realizar una evaluación de impacto de la privacidad (PIA)
- Crear procesos para actividades de notificación de violación de datos
- La conciencia continua de los empleados es vital para asegurar el cumplimiento continuo del GDPR
¿Todavía tienes dudas sobre cómo prepararte para GDPR?
Aprende más sobre GDPR
¿Qué es GDPR?
El Reglamento General de Protección de Datos (GDPR) de la UE cambia radicalmente las leyes de protección de datos y privacidad. La UE se ha dado cuenta de que, si bien la tecnología ha evolucionado drásticamente en las últimas décadas, las leyes de privacidad no lo han hecho. En 2016, los organismos reguladores de la UE decidieron actualizar la actual Directiva de Protección de Datos para adaptarla a los tiempos cambiantes. Esta ley crea una lista completa de las reglamentaciones que rigen el procesamiento de los datos personales de los residentes de la UE.
¿A quién se aplica?
GDPR se aplica a cualquier organización que trabaje con los datos personales de los residentes de la UE. Esta ley introduce nuevas obligaciones para los procesadores de datos al tiempo que establece claramente la responsabilidad de los controladores de los mismos.
¿Dónde se aplica el GDPR?
Esta ley no tiene límites territoriales. No importa de dónde sea su organización: si procesa los datos personales de los sujetos de la UE, queda bajo la jurisdicción de la ley.
¿Cuáles son las sanciones por incumplimiento?
Un incumplimiento de la GDPR incurre en una multa de hasta el 4% de la facturación global anual o 20 millones de euros (el que sea mayor).
¿Quiénes son los principales interesados?
- Sujeto de datos: una persona física que reside en la UE y es el sujeto de los datos
- Controlador de datos: determina el propósito y los medios para procesar los datos
- Procesador de datos: procesa datos según las instrucciones del controlador
- Autoridades de supervisión: autoridades públicas que supervisan la aplicación del reglamento
¿Qué son los datos personales o la información de identificación personal (PII)?
Cualquier información relacionada con una persona física identificada o identificable. Los identificadores se clasifican en dos tipos: directos (p. Ej., Nombre, correo electrónico, número de teléfono, etc.) e indirectos (p. Ej., Fecha de nacimiento, sexo, etc.).
¿Cuáles son los cambios clave de las regulaciones anteriores?
- Derechos nuevos y mejorados para los interesados: esta ley otorga a las personas el derecho de ejercer una autoridad total sobre sus datos personales. Algunos de los derechos destacados en la regulación son:
- Consentimiento explícito: los interesados deben ser informados sobre cómo se procesarán sus datos personales. Las organizaciones deben hacer que sea tan fácil para los interesados retirar su consentimiento como lo es otorgarlo.
- Derecho de acceso: en cualquier momento, el interesado puede preguntar al controlador qué datos personales se almacenan o conservan sobre él.
- Derecho a ser olvidado: el sujeto de los datos puede solicitar al controlador que elimine su información personal de los sistemas del controlador.
- Portabilidad de datos: el controlador debe poder proporcionar a los sujetos de datos una copia de sus datos personales en formato legible por máquina. Si es posible, deben poder transferir los datos a otro controlador.
- Obligaciones de los procesadores: GDPR también ha elevado el listón de las responsabilidades de los procesadores de datos. Los procesadores deben poder demostrar el cumplimiento con el GDPR y deben seguir las instrucciones del controlador de datos.
- Oficial de protección de datos: las organizaciones pueden necesitar designar a un miembro del personal o proveedor de servicios externos que sea responsable de supervisar el GDPR, el cumplimiento general de la gestión de privacidad y las prácticas de protección de datos.
- Evaluaciones de impacto de privacidad: las organizaciones deben realizar evaluaciones de impacto de privacidad de su procesamiento de datos a gran escala para minimizar los riesgos e identificar medidas para mitigarlos.
- Notificación de incumplimiento: los controladores deben notificar a las partes interesadas (la autoridad de control y, cuando corresponda, los interesados) dentro de las 72 horas de haber tenido conocimiento de una infracción.
¿El GDPR requiere datos personales de la UE para permanecer en la UE?
No, el GDPR no requiere datos personales de la UE para permanecer en la UE, ni impone ninguna nueva restricción a las transferencias de datos personales fuera de la UE. Nuestro apéndice de procesamiento de datos, que hace referencia a las cláusulas modelo de la Comisión Europea, continuará ayudando a nuestros clientes a facilitar las transferencias de datos personales de la UE fuera de la UE.
