Encuentra tu portal
Find your portal

Reglamento general de protección de datos de la UE

Introducción

GDPR significa Reglamento General de Protección de Datos y es una ley de privacidad de la UE que entró en vigor el 25 de mayo de 2018 [1]. El GDPR se aplica a todas las empresas con un nexo en la UE o que se dirige a una audiencia de la UE en sus materiales de marketing [2].

GDPR está diseñado para proteger la información personal confidencial de los usuarios finales, como contraseñas, direcciones, información financiera, registros médicos y antecedentes penales. También se extiende a otra información de identificación personal, como el nombre, la foto, los números de identificación del gobierno y la dirección IP. [3]

Las empresas tienen un incentivo financiero para cumplir la ley. Si se denuncia una infracción del GDPR a una empresa y esta no toma medidas oportunas para corregirla, puede estar sujeto a multas de hasta 20 millones de euros o el 4 % de los ingresos totales, lo que sea mayor. Las multas dependen de la gravedad de la infracción y de si se considera que la empresa ha tomado el cumplimiento y las normas en materia de seguridad de manera suficientemente seria. [4]

Controladores de datos y Procesadores de datos

GDPR tiene un modelo de responsabilidad conjunta que se divide entre un "Controlador de datos" (una empresa que brinda un servicio a los usuarios finales) y un "Procesador de datos" (una empresa que brinda un servicio a los controladores de datos que incluye el almacenamiento y procesamiento de datos del usuario final). [5]

Un controlador de datos confía en sus procesadores de datos para cuidar bien los datos del usuario final. Si un controlador de datos escucha de un procesador de datos que ha ocurrido una violación y la violación es lo suficientemente grave, el controlador de datos debe informar a sus usuarios finales dentro de las 72 horas. [6]

Un controlador de datos también debe proporcionar a los usuarios finales una descripción clara de cómo usarán sus datos y obtener un consentimiento explícito para este uso. Un controlador de datos también debe proporcionar una forma para que los usuarios finales descarguen sus datos de forma portátil, retire su consentimiento y se eliminen a sí mismos (ya sus datos) del servicio. [7]

Un procesador de datos almacena los datos del usuario final en nombre del controlador de datos y debe asegurarse de que estos datos nunca caigan en las manos equivocadas. Los procesadores de datos deben seguir las mejores prácticas de la industria, incluido el cifrado de contraseñas, el cumplimiento de PCI y garantizar la seguridad de los datos transferidos hacia/desde la UE. [8] En caso de incumplimiento, un procesador de datos debe informar a los controladores de datos de manera oportuna. Un procesador de datos puede usar servicios de terceros para almacenar y procesar datos de usuarios finales y, en este caso, el procesador de datos debe asegurarse de que estos servicios de terceros también cumplan con el GDPR.

Cómo CYPHER LEARNING cumple con GDPR

CYPHER LEARNING es principalmente un procesador de datos, ya que ofrecemos nuestro LMS alojado en la nube a las organizaciones. Esas organizaciones son recolectores de datos, ya que registran a los usuarios finales y esos usuarios ingresan datos en nuestro sistema. Para cumplir con las normas como procesador de datos, hacemos lo siguiente:

  1. Siga las mejores prácticas de la industria para garantizar la seguridad de nuestro sistema y evitar infracciones. Para obtener más detalles sobre nuestras funciones de seguridad, visite nuestras preguntas frecuentes públicas.
  2. Proporción de políticas de privacidad claras.
  3. Brindar a nuestros clientes un marco que permita que se requieran consentimientos de políticas para tipos de cuentas y/o visitantes particulares.
  4. Permita que las políticas sean versionadas (lo que luego requiere una nueva aceptación y un informe).
  5. Permita que los usuarios finales retiren su consentimiento de las políticas si así lo desean.
  6. Permita que los clientes proporcionen a los usuarios finales la exportación de datos de autoservicio para la portabilidad de datos.
  7. Permita que los clientes brinden a los usuarios finales la capacidad de eliminar automáticamente sus cuentas o solicitar que se eliminen sus cuentas.
  8. Proporcione a los usuarios finales un conjunto de configuraciones de privacidad.
  9. Comprometerse a alertar a nuestros clientes con una notificación inmediata de cualquier incumplimiento grave.
  10. Utilice el escudo de privacidad UE-EE. UU. y Suiza-EE. UU. para la transferencia de datos UE-EE. UU.
  11. Confirme que los servicios y sistemas de terceros que utilizamos para las operaciones de nuestro producto también cumplen con el GDPR.

CYPHER LEARNING también es un controlador de datos en segundo lugar, ya que requerimos que la persona que se registró inicialmente en nuestro servicio ingrese algunos datos, como su nombre y dirección de correo electrónico. Para cumplir con las normas como recopiladores de datos, hacemos lo siguiente:

  1. Proporcione Términos de servicio y Política de privacidad claros.
  2. Proporcione un método para eliminar automáticamente su sitio y todos los datos relacionados.
  3. Use las mejores prácticas de seguridad de la industria para protegerse contra las filtraciones de datos.
  4. Comprometerse a alertar a nuestros clientes dentro de las 72 horas de cualquier incumplimiento grave.
  5. Proporcione políticas de privacidad claras, que se documentan aquí.

Integraciones opcionales de terceros en nuestro App Center

Los productos de CYPHER LEARNING incluyen una amplia variedad de integraciones opcionales con productos de terceros a través de nuestro Centro de aplicaciones, y la mayoría de estos sistemas de terceros pueden requerir procesadores de datos. No garantizamos que estos productos de terceros cumplan con el GDPR y renunciamos expresamente a cualquier responsabilidad por los daños que puedan ocurrir si se infringen esos productos de terceros.

También renunciamos expresamente a la responsabilidad legal por tener que notificar a nuestros recopiladores de datos o usuarios finales si se infringen los sistemas de terceros con los que proporcionamos integraciones opcionales a través de nuestro App Center. Se espera que nuestros clientes tengan un contrato separado con cada sistema de terceros que integren con los productos de CYPHER LEARNING, y recomendamos que nuestros clientes se comuniquen con cada uno de estos proveedores de terceros para ver si cumplen con GDPR.

Descargo de responsabilidad

La información de esta página no es un consejo legal para usted o su empresa para cumplir con las leyes de privacidad de datos de la UE, como el GDPR. El contenido de esta página tiene únicamente fines educativos y para brindarle información básica que lo ayudará a comprender mejor los esfuerzos de CYPHER LEARNING para cumplir con la regulación.

Referencias

  1. https://gdpr-info.eu/
  2. https://www.workplaceprivacyreport.com/2018/01/articles/international-2/does-the-gdpr-apply-to-your-us-based-company/
  3. https://gdpr-info.eu/art-4-gdpr/
  4. https://www.gdpreu.org/cumplimiento/multas-y-sanciones/
  5. https://advisera.com/eugdpracademy/knowledgebase/eu-gdpr-controller-vs-processor-what-are-the-differences/
  6. https://www.zdnet.com/article/gdpr-an-executive-guide-to-what-you-need-to-know/
  7. https://www.i-scoop.eu/gdpr/right-to-data-portability/
  8. https://www.itgovernance.co.uk/blog/transferring-personal-data-under-the-gdpr/

Para obtener más detalles sobre GDPR, visite https://www.eugdpr.org/.