¿Qué ocurre en caso de incumplimiento?
Las multas por cualquier tipo de infracción del RGPD puede convertirse en un error sumamente costoso para cualquier compañía gigante multinacional y seguramente puede afectar a muchas medianas o pequeñas compañías. El valor de las multas puede ser superior a €20 millones o el 4% de la facturación global de la compañía. El incumplimiento del RGPD también forma otro riesgo, que son más fáciles de estimar, pero de igual manera graves para una compañía- la mala reputación.
El daño sin ninguna duda de la reputación puede ser una consecuencia fundamental de cualquier sanción o multa que sea relacionada con el RGPD, similar a las consecuencias de los incidentes de seguridad que se relacionan con lo cibernético y privacidad, que por lo general están protegidos por los medios de comunicación y llevan inevitablemente a pérdida de confianza y clientes.
Negar la responsabilidad
Las leyes de protección de información personal como las de RGPD son sumamente complejas. Es imposible que se pueda cubrir todos los importantes detalles en una breve guía. No pretendemos ser un consejo legal, sino únicamente un punto de referencia para sus deberes de cumplimiento de la protección de información.
Función y uso previo
Todos nuestros Servicios, incluidas las funciones de registro, estadísticas y grabación de conversaciones, que determinan la ubicación de una llamada/empleado, están destinados únicamente a fines comerciales. No está diseñado para uso personal.
Según diferentes leyes, como el reglamento de protección de datos general (GDRP), es más probable que se le pueda denominar como controlador de información personal de sus empleados que usan esta app, así como de los clientes que llegan a comunicarse con ellos.
Un controlador significa que tiene la responsabilidad de proteger la información personal.
Considerar los derechos de los usuarios
El RGPD como un ejemplo muy específico de la regulación de privacidad se encarga en gran medida de brindar a los individuos ciertos derechos. Uno de los aspectos más críticos del cumplimiento de RGPD es poder permitir ejercer los derechos de los interesados. A continuación, usted puede hallar una lista de los derechos con sus consejos y explicaciones acerca de cómo utilizarlos.
Derecho a ser informado
Es el derecho del usuario a conocer cómo procesa su información personal a través de la implementación de alguna política privada. Su principal objetivo es poder generar confianza entre sus servicios y el consumidor. Debe estar escrita de forma concisa y clara, usando un lenguaje transparente. Debe dar explicaciones del cómo y porqué se procesa su información. Lo más importante es que el individuo de la que se encuentra recopilando la información debe estar al tanto con respecto del momento en que se hacen las recopilaciones.
Derecho al acceso
Crea un derecho en virtud del cual un individuo tiene la capacidad de averiguar si su información personal está siendo procesada y de ser el caso, pedir una copia de toda la información que tenga de ella o el.
· Propósitos de procesamiento;
· Categorías de la información procesada;
· Destinatarios de la información personal;
· La duración planificada del almacenamiento;
· Datos sobre los derechos de la persona solicitante;
· Datos sobre la posibilidad de presentar algún tipo de denuncia ante las autoridades supervisoras
· Origen de la información (si proviene de algún tercero)
· Datos sobre la creación de perfiles (si corresponde)
· Salvaguardias son tomadas en caso de la transferencia de información a un país tercero.
Finalmente, deberá brindar al interesado alguna copia de toda su información que esté en un formato estructurado (ejemplo CSV)
Derecho a la portabilidad
De acuerdo a este derecho, los datos del interesado(usuario):
· Puede recibir la información personal relacionada con ellos en tipo de formato claro de utilidad común; y
· solicitarle que transfiera la información a otro lugar (de un encargado del trámite a otro).
Si bien la primera parte es muy parecida al derecho de acceso, la segunda podría parecer algo problemática. Es muy poco probable que alguien pueda ejercer este derecho de transferencia de información a otro controlador, pero de todas formas recomendamos por lo menos almacenar la información de una forma que permita ser transferida en un formato estructurado, comúnmente usado y reconocible para la máquina.
· Estructurado: La información estructurada permite una sencilla transferencia y facilita la utilización, son los datos donde la relación estructural entre varios elementos es explícita en la forma que la información se guarda en un disco de ordenador. El software debe poder extraer elementos específicos de los datos. Un ejemplo de un formato estructurado es la hoja de cálculo- la información está organizada(estructurada) en columnas y filas;
· De uso común: sencillamente, el formato que seleccione debe ser ampliamente usado y estar muy bien establecido. Sin embargo, también debe ser legible para la máquina y muy bien estructurado;
· Legible para la máquina: Los datos en un formato que el ordenador consiga procesar y leer automáticamente. Es un formato del cual las apps de software pueden reconocer, identificar y extraer información específica.
Los formatos más usados que logran cumplir los requisitos antes nombrados son XML, JSON y CSV.
Similar a los derechos de acceso, usted deberá proporcionar el requisito con una copia de sus datos dentro de un plazo de un mes, que puede ser extendida hasta 2 meses.
Derecho a quitar el consentimiento
Este derecho para usted es relevante cuando consigue el consentimiento, que se requiere normalmente cuando se envía emails de marketing a los diferentes usuarios o usa cookies de algún tercero (reorientación como análisis). El GDPR establece algunos requisitos sumamente claros para conseguir el consentimiento: debe ser específico, claro, sin ambigüedades, otorgado libremente, etc. El reglamento también estipula que un individuo puede quitar su consentimiento en cualquier momento, sin tener necesidad de dar explicaciones de su decisión.
Derecho a rectificación
Cuando la información personal que tienen es incorrecta o están desactualizados, el interesado tiene el derecho de poder actualizarlos. El principal objetivo aquí es brindar la precisión de la información de la persona en su sistema.
La solución más directa y fácil para implementar este tipo de derecho es dejar que los usuarios modifiquen sus datos en ese mismo momento en el portal web. Los usuarios también pueden ejercer este derecho mediante el teléfono, correo postal o email. Es una gran idea incluir esta posibilidad en nuestra política de privacidad.
En el caso de que un individuo ejerza este derecho mediante el teléfono, correo postal o email, debe cumplir con dicha solicitud en un periodo de 1 mes, o 2 meses si existe una justificación legítima para tener retrasos.
Derecho a la restricción del procesamiento
El Derecho a la restricción del procesamiento puede crear un derecho en virtud del cual un individuo limita la forma en que usa sus datos. Esto puede ser comparado bloquear o congelar los datos. Sin embargo, aquellos interesados necesitarán una razón válida para poder ejercer el derecho. Aquella razón podría ser por ejemplo que los datos retenidos son inexactos, los datos se procesaron de forma ilegal o se están procesando, el interesado puede tener varios problemas con la forma de realizar el proceso de datos, etc.
Debe de estar seguro de contar con procesos que le puedan permitir restringir la información personal. Puede ser: eliminar de forma temporal los datos del portal web, mover los datos temporalmente a otro sistema, etc. A continuación, se debe asegurar de que no se realizará ningún proceso posterior de los datos. Esto se debe a que la información no se puede cambiar mientras está vigente la restricción. También es muy importante tratar de evitar el proceso accidental de los datos restringidos- los datos restringidos deben estar debidamente seleccionados en el sistema.
Al igual que con la mayor parte de los demás derechos, deberá cumplir con la solicitud en un tiempo de 1 mes desde el momento de la recepción.
Derecho a eliminar
También se lo conoce como "derecho del olvido". El usuario puede pedir a usted, el controlador, que elimine su información si ya no son requeridos para el propósito para el que fueron recolectados originalmente, Anteriormente, la Unión Europea ha presentado mucha más atención a este tipo de derecho y no tolera compañías que no satisfagan válidas las solicitudes para la eliminación de su información.
Cuando se refiere a permitir el ejercicio de este tipo de derecho, deberá asegurarse de poder borrar los datos de todos sus sistemas. Deberá cumplir con dicha solicitud dentro de un periodo de 1 mes o 2 meses en casos extremos.
Como usted debe obtener preparación:
Limitar el acceso a la información
Asegúrese de que únicamente se acceda a la información personal cuando sea sumamente necesario. Emplear diferentes medidas técnicas y para poder limitar el acceso de contratistas y empleados a menos que se requiera para sus funciones
Usualmente, se realiza seleccionando un tipo de configuración adecuada en el CRM que escoja mediante la configuración de la red y su cuenta del sistema.
Revise sus proveedores de los servicios
WIRE puede ser integrado con su proveedor de servicios elegido de CRM. Según varias leyes de protección de información, WIRE y dicho aquel proveedor probablemente se lleguen a considerar procesadores. Eso quiere decir que usted, como el responsable del procesamiento, tiene el deber de asegurarse de que están procesando únicamente los datos bajo sus instrucciones y de que la información está adecuadamente protegida
Estas son varias de las acciones que se puede realizar:
· Firmar un tipo de acuerdo del procesamiento de información
· Envía un cuestionario de la protección de información
· Revisa sus estándares de cumplimiento, certificaciones, etc.
· Revisa las normas de seguridad proporcionadas por aquel proveedor de servicio
Eliminar datos innecesarios
De vez en cuando, los usuarios lo llamaran con irrelevantes preguntas. A veces pueden brindar más información de lo que es necesario. En algún instante, los datos se pueden volver demasiados viejos y esencialmente inservibles.
Considere crear un proceso para borrar de forma segura esa información innecesaria de su sistema.
Asegurar los datos apropiadamente
Asegúrese de continuar con las mejores prácticas relacionadas con la seguridad de la información personal.
Hay numerosas medidas que se pueden usar para conseguirlo: utilizar cifrados cuando sea posible, crear políticas internas, utilizar anonimización, copias de seguridad, seudonimización, seguridad en la nube, controles de acceso, etc.
Las normas de seguridad son sumamente numerosas para poderlas enumerar, por lo que se recomienda que consulte al proveedor de sus servicios de seguridad.
Ser sumamente claro con sus usuarios finales
Cuando sus usuarios realizan llamadas a sus empleados, deberán saber que los están registrando y sus derechos en relación a la información personal.
Existen varias formas en que se puede conseguir transparencia y claridad con sus usuarios, como notificarles durante las llamadas, entregar una política de privacidad o cortos avisos de privacidad que justifiquen sus razones para grabar y rastrear llamadas.
Deberá considerar si es apto solicitar la aprobación del usuario para realizar las grabaciones de las llamadas y cómo podría administrarlo.
Ser claro con los empleados
La información personal de sus empleados es sumamente importante como la información personal de sus usuarios.
Cuando Wire Plus ingrese en sus procedimientos comerciales, asegúrese de que sus empleados puedan comprender que todas sus llamadas se van a grabar y conozcan sus derechos en relación a dichas grabaciones.
Crear una política de datos para la protección de los empleados
De vez en cuando es una idea buena poder revisar sus prácticas internas de la recopilación de información, las leyes de protección relevantes de la información local e internacional y crear un tipo de política interna que se enfoque en la protección de información de los empleados y las personas que sean responsable de ellas.
Siga el principio de transparencia al seguir la ubicación
Cuando usa Wire plus, puede activar el seguimiento de ubicación.
Esta función esta desactivada por defecto.
Para rastrear su ubicación, debe adherirse al principio de transparencia. En particular, obtenga el consentimiento explícito de los empleados para procesar estos datos. En Wire plus, un empleado puede habilitar o deshabilitar el seguimiento de su ubicación. Sin embargo, debe asegurarse de que el empleado permita el seguimiento de los datos sin presión.
Si utiliza otra base legítima para el procesamiento y proporciona las garantías adecuadas.
Verifique los casos judiciales y las leyes locales
Puede existir diversas complejidades y peculiaridades en torno a las diferentes leyes de protección de la información local y los casos judiciales que se las interpreta especialmente en relación a la información, que se puede considerar sensible, como la información médica, afiliaciones, bancaria, política, etc.
Usted debe consultar a sus abogados locales si procede a la participación de dichos procesamientos.
Válido desde el 01.10.2019
Última revisión: 28.04.2021