Introducción

El Reglamento General de Protección de Datos de la UE («RGPD») entra en vigor en toda la Unión Europea el 25 de mayo de 2018 y trae consigo los cambios más significativos en la legislación de protección de datos en dos décadas. Basado en la privacidad por diseño y adoptando un enfoque basado en el riesgo, el RGPD ha sido diseñado para cumplir con los requisitos de la era digital.

El siglo XXI trae consigo un uso más amplio de la tecnología, nuevas definiciones de lo que constituye datos personales y un gran aumento en el procesamiento transfronterizo. El nuevo Reglamento tiene por objeto normalizar las leyes y el tratamiento de la protección de datos en toda la UE; permitir a las personas derechos más fuertes y coherentes para acceder y controlar su información personal.

Nuestro comittment

CEMPaC (‘nosotros’ o ‘nosotros’ o ‘nuestro’) se comprometen a garantizar la seguridad y protección de la información personal que procesamos, y a proporcionar un enfoque compatible y coherente para la protección de datos. Siempre hemos tenido un programa de protección de datos sólido y eficaz que cumple con la legislación vigente y cumple con los principios de protección de datos. Sin embargo, reconocemos nuestras obligaciones en la actualización y ampliación de este programa para satisfacer las demandas de la legislación del Reglamento General de Protección de Datos (RGPD) de 2018, así como las Leyes de Protección de Datos de 1988 y 2003 en cuanto a la recopilación y uso de datos personales.

CEMPaC se dedica a salvaguardar la información personal bajo nuestro mandato y en el desarrollo de un régimen de protección de datos que sea eficaz, adecuado para el propósito y demuestre una comprensión y apreciación del nuevo Reglamento. Nuestra preparación y objetivos para el cumplimiento del RGPD se han resumido en esta declaración e incluyen el desarrollo y la implementación de nuevos roles, políticas, procedimientos, controles y medidas de protección de datos para garantizar el cumplimiento máximo y continuo.

Cómo nos estamos preparando para el RGPD

CEMPaC ya tiene un nivel consistente de protección de datos y seguridad en toda nuestra organización, sin embargo, nuestro objetivo es cumplir plenamente con el RGPD antes del 25 de mayo de 2018. Nuestra preparación incluye: –

  • Auditoría de la información – llevar a cabo una auditoría de información en toda la empresa para identificar y evaluar qué información personal tenemos, de dónde proviene, cómo y por qué se procesa y si y a quién se divulga.
  • Políticas y procedimientos – implementación de nuevas políticas y procedimientos de protección de datos para cumplir con los requisitos y estándares del RGPD y cualquier ley de protección de datos relevante, incluyendo: –
  • Protección de datos: nuestro principal documento de política y procedimiento para la protección de datos se ha revisado para cumplir con los estándares y requisitos del RGPD. Existen medidas de rendición de cuentas y gobernanza para garantizar que comprendamos y difundamos adecuadamente nuestras obligaciones y responsabilidades; con un enfoque dedicado a la privacidad por diseño y los derechos de las personas.
  • Retención y eliminación de datos: hemos actualizado nuestra política de retención y programación para garantizar que cumplimos con los principios de «minimización de datos» y «limitación de almacenamiento» y que la información personal se almacena, archiva y destruye de forma compatible y ética. Hemos dedicado los procedimientos de eliminación para cumplir con la nueva obligación de «Derecho a la Eliminación» y somos conscientes de cuándo se aplican este y otros derechos del interesado; junto con las exenciones, los plazos de respuesta y las responsabilidades de notificación.
  • Infracciones de datos: nuestros procedimientos de violación garantizan que disponemos de medidas y salvaguardias para identificar, evaluar, investigar e informar cualquier violación de datos personales lo antes posible.
  • Transferencias internacionales de datos y divulgaciones de terceros: donde CEMPaC almacena o transfiere información personal fuera de la UE, disponemos de procedimientos sólidos y medidas de protección para proteger, cifrar y mantener la integridad de los datos.
  • Solicitud de acceso al sujeto (SAR) – hemos revisado nuestros procedimientos sar para acomodar el plazo revisado de 30 días para proporcionar la información solicitada y para hacer esta disposición de forma gratuita. Nuestros nuevos procedimientos detallan cómo verificar al interesado, qué pasos tomar para procesar una solicitud de acceso, qué exenciones se aplican y un conjunto de plantillas de respuesta para garantizar que las comunicaciones con los interesados sean compatibles, coherentes y adecuadas.
  • Base legal para el procesamiento: estamos revisando todas las actividades de procesamiento para identificar la base legal para el procesamiento y garantizar que cada base sea adecuada para la actividad con la que se relaciona. Cuando corresponda, también mantenemos registros de nuestras actividades de procesamiento, garantizando que se cumplan nuestras obligaciones en virtud del artículo 30 del RGPD y el Anexo 1 de la Ley de Protección de Datos.
  • Aviso/Política de Privacidad – Estamos revisando nuestros Avisos de Privacidad para cumplir con el RGPD, asegurando que todas las personas cuya información personal procesamos han sido informadas de por qué la necesitamos, cómo se utiliza, cuáles son sus derechos, a quién se divulga la información y qué medidas de salvaguardia existen para proteger su información.
  • Obtener consentimiento: hemos revisado nuestros mecanismos de consentimiento para obtener datos personales, asegurando que las personas entiendan lo que proporcionan, por qué y cómo los utilizamos y proporcionando formas claras y definidas de dar su consentimiento para que procesemos su información. Hemos desarrollado procesos rigurosos para registrar el consentimiento, asegurándonos de que podemos evidenciar una suscripción afirmativa, junto con registros de fecha y hora; y una forma fácil de ver y acceder a retirar el consentimiento en cualquier momento.

Derechos del interesado

Además de las políticas y procedimientos mencionados anteriormente que garantizan que las personas puedan hacer valer sus derechos de protección de datos, proporcionamos fácil acceso a la información a través de nuestro sitio web del derecho de una persona a acceder a cualquier información personal que CEMPaC procese sobre ellos y a solicitar información sobre: –

  • Qué datos personales tenemos sobre ellos
  • Los fines del tratamiento
  • Las categorías de datos personales en cuestión
  • Los destinatarios a los que se divulguen los datos personales
  • ¿Durante cuánto tiempo tenemos la intención de almacenar sus datos personales para
  • Si no recopilamos los datos directamente de ellos, la información sobre la fuente
  • El derecho a que se corrijan o completen los datos incompletos o inexactos sobre ellos y el proceso de solicitud
  • El derecho a solicitar la supresión de datos personales (cuando corresponda) o a restringir el procesamiento de acuerdo con las leyes de protección de datos, así como a oponerse a cualquier marketing directo de nosotros y a ser informados sobre cualquier toma de decisiones automatizada que usemos
  • El derecho a presentar una queja o solicitar recurso judicial y a quién contactar en tales casos

Seguridad de la información y medidas técnicas y organizativas

CEMPaC se toma muy en serio la privacidad y seguridad de las personas y su información personal y toma todas las medidas y precauciones razonables para proteger y proteger los datos personales que procesamos. Contamos con políticas y procedimientos sólidos de seguridad de la información para proteger la información personal del acceso no autorizado, alteración, divulgación o destrucción y tenemos varias capas de medidas de seguridad, incluyendo SSL, controles de acceso, política de contraseñas, cifrados, prácticas, restricción, TI, autenticación.

Roles y empleados del RGPD

EHFF tiene una persona designada como nuestro Oficial de Protección de Datos para desarrollar e implementar nuestra hoja de ruta para cumplir con el nuevo Reglamento de protección de datos. Nuestro DPO también gestiona los mismos requisitos para CEMPaC. El DPO es responsable de promover el conocimiento del RGPD en las dos organizaciones, evaluar nuestra preparación para el RGPD, identificar las áreas de brecha e implementar las nuevas políticas, procedimientos y medidas.

Entendemos que la conciencia y la comprensión continua de los miembros es vital para el cumplimiento continuo del RGPD e involucrará a nuestros miembros en nuestros planes de preparación.

Si tiene alguna pregunta sobre nuestra preparación para el RGPD, póngase en contacto con [email protected]