Vanderbilt SPC

Reglamento General de Protección de Datos de la UE:

guía de cumplimiento

Resumen

Con las soluciones y productos de Vanderbilt, los clientes pueden gestionar y tratar los datos personales de modo que respetan los requisitos del RGPD. El objetivo de esta guía es ayudar a nuestros clientes a evaluar si están o no preparados para cumplir con sus responsabilidades y obligaciones con respecto a los nuevos reglamentos.

Descripción general

La protección de datos es un derecho fundamental por el que todo el mundo tiene el derecho a que sus datos personales estén protegidos. El Reglamento general de Protección de Datos (RGPD) se aplica a partir del 25 de mayo de 2018 y está elaborado para que las personas tengan más control sobre sus datos personales. Existe un conjunto de normas para toda la UE y pueden complementarse en algunas áreas con la legislación nacional.

El RGPD impone obligaciones a las empresas y organizaciones que recogen, utilizan y tratan datos personales. El requisito central del RGPD para las organizaciones y empresas es ser totalmente transparentes sobre la forma en que utilizan y protegen los datos personales y poder asumir la responsabilidad de sus actividades de tratamiento de datos. Estos datos se tratarán de forma leal para fines específicos y sobre la base del consentimiento del interesado o de cualquier otra base legítima establecida por la ley.

Aunque Vanderbilt ofrece a los clientes una funcionalidad de productos flexible e intuitiva para facilitar el cumplimiento de los nuevos reglamentos, la organización de Vanderbilt ni recoge ni controla ni utiliza ni trata los datos personales que existen en los productos de las instalaciones propias de Vanderbilt. Por tanto, es responsabilidad del responsable y del encargado del tratamiento de asegurar que las obligaciones indicadas en el RGPD se cumplan.

En caso de cualquier duda o de no conocer con certeza la identidad del responsable del tratamiento o del encargado del tratamiento, debe consultar con el asesor jurídico.

¿Qué son los datos personales?

El término «datos personales» significa cualquier información relativa a una persona viva que está identificada o es identificable.

Una persona es identificable si puede ser identificada directa o indirectamente mediante un «identificador». El RGPD da ejemplos de identificadores, como nombres, números de identificación y datos de localización. Una persona también puede ser identificada mediante elementos propios de la identidad física, genética o cultural.

Los datos personales que se han sometido a despersonalización, cifrado o seudonimización y que pueden utilizarse para identificar de nuevo a una persona siguen siendo datos personales y entran en el ámbito del RGPD. Si los datos personales se han convertido en anónimos de modo que la persona ya no es identificable, entonces dejan de considerarse datos personales. Para que los datos sean completamente anónimos, el proceso debe ser irreversible.

La ley protege los datos personales independientemente de la tecnología o el método utilizado para el tratamiento de los datos: se aplica tanto al tratamiento automatizado como manual. Tampoco importa el modo en que se conservan los datos personales (sistema informático, videovigilancia o papel); en todos los casos, los datos personales están sujetos a los requisitos de protección descritos en el RGPD.

¿En qué consiste el tratamiento de datos?

El tratamiento abarca diversas operaciones realizadas en los datos personales por medios manuales o automatizados. Incluye la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción de los datos personales.

El Reglamento General de Protección de Datos (RGPD) se aplica al tratamiento de todos o parte de los datos personales por medios automatizados y manuales, si forma parte de un fichero estructurado.

¿Actúo como responsable o encargado del tratamiento?

Un responsable del tratamiento es la persona o persona jurídica que controla y es responsable de guardar y utilizar la información personal en un ordenador o en archivos manuales estructurados. Ser responsable del tratamiento implica responsabilidades legales, de modo que debe tener claro si estas responsabilidades se aplican a usted o su organización.

Si usted o su organización controla y es responsable de los datos personales que conserva, es decir, decide qué información personal se conservará y qué uso se le dará, entonces usted o su organización es un responsable del tratamiento.

Ejemplos de casos en los que el responsable del tratamiento es una persona son médicos, farmacéuticos, políticos y comerciantes individuales, cuando esas personas conservan información personal de sus pacientes, clientes, electores, etc.

Si usted o su organización conserva los datos personales, pero otra persona y organización decide y es responsable de lo que ocurre con esos datos, entonces esa persona u organización es el responsable del tratamiento y usted o su organización es el «encargado del tratamiento».

Ejemplos de encargados del tratamiento son empresas encargadas del pago de nóminas, gestores financieros y empresas de investigación de mercado, los cuales pueden conservar o tratar la información personal en nombre de otro.

¿Qué es el consentimiento del interesado y es necesario tenerlo en cuenta?

Para tratar legalmente los datos personales, las organizaciones y empresas deben identificar y documentar la base legal para ello desde el principio. Algunas de las formas legales para tratar los datos son:

  • Consentimiento del interesado: el consentimiento es adecuado si las personas pueden elegir realmente y tienen el control sobre el modo en que se utilizan sus datos.
  • Intereses vitales: el tratamiento es necesario para proteger los intereses vitales de la persona, por ejemplo, en caso de ser necesario proteger su vida.
  • Cumplimiento con una obligación legal: los datos pueden tratarse si, por ejemplo, la ley europea lo exige por un motivo particular.
  • Un contrato con el interesado: el tratamiento es necesario para ejecutar un contrato con una persona, por ejemplo, suministrar bienes o prestar servicios que han sido solicitados.

En caso de dudar de si cuenta con el consentimiento suficiente para tratar los datos personales, debería consultar con su asesor jurídico.

¿Qué es un contrato de tratamiento de datos y es necesario tenerlo en cuenta?

Si almacena o trata (introduce, edita, conserva) datos personales (encargado del tratamiento) en nombre de su cliente (responsable del tratamiento), necesitará un contrato para el tratamiento de los datos. Le recomendamos que se asesore legalmente para asegurarse de que el contrato contemple las cuestiones de seguridad y otras garantías adicionales de protección de los datos. Como parte que somos, recomendamos a los clientes que cuenten con una lista de comprobación relativa al tratamiento de los datos y al traspaso del sistema de seguridad.

Conozca su papel y su responsabilidad

Está claro que la ley está cambiando al RGPD y que debe ser integrado en la planificación de los sistemas de seguridad. Se deben identificar y abordar las áreas que pueden provocar problemas de cumplimiento según el RGPD. En el RGPD, los interesados tienen el derecho de recibir información clara sobre la utilización de sus datos.

El primer paso práctico es identificar su papel y responsabilidad con respecto al RGPD. ¿Es usted responsable del tratamiento, encargado del tratamiento o ambas cosas? En caso de cualquier duda o de no conocer con certeza la identidad del responsable del tratamiento o del encargado del tratamiento, debe consultar con el asesor jurídico.

El segundo paso es asumir la responsabilidad. Tenga en cuenta todos los datos personales que manipula cuando trabaja con el sistema de seguridad y analícelos según las siguientes categorías:

  • ¿Qué datos personales se conservan?
  • ¿Cuál es la base legal en la que se basa el tratamiento de los datos personales?
  • ¿Dónde se conservan los datos?
  • ¿Cómo se protegen los datos?
  • ¿Durante cuánto tiempo se conservan los datos?
  • ¿Cuál es la política para tratar las solicitudes de acceso a los datos personales?
  • ¿Cuál es el procedimiento en caso de que alguien pida que se eliminen sus datos del sistema?
  • ¿Quién tiene acceso a los datos?
  • ¿Se transfieren los datos fuera del EEE?

SPC y RGPD

La siguiente información describe cómo puede usarse la serie SPC de controladores de Vanderbilt para facilitar el cumplimiento del RGPD.

¿Qué datos personales se conservan?

Los usuarios de SPC deben introducir la siguiente información obligatoria durante el proceso de registro:

  • Nombre
  • PIN

Durante el uso de SPC Connect, también puede asociarse la siguiente información con la cuenta del usuario.

  • Clave de acceso web
  • Número de tarjeta

¿Cuál es la base legal en la que se basa el tratamiento de los datos personales?

El controlador SPC es un elemento funcional del sistema; la introducción de los datos y el mantenimiento de los datos están controlados por el responsable del tratamiento y el encargado del tratamiento del centro. Como tales, es responsabilidad del responsable del tratamiento o del encargado del tratamiento garantizar la base legal para el tratamiento de los datos personales.

Los datos del usuario son añadidos al sistema por

  • el administrador («ingeniero»)
  • un usuario con permisos por parte del administrador

¿Dónde se conservan los datos?

Todos los datos de SPC se conservan en el controlador SPC en un formato comprimido y el acceso al archivo está limitado al administrador («ingeniero») del sistema. Solo el usuario administrador puede acceder al archivo.

¿Cómo se protegen los datos?

El acceso a los datos del sistema SPC está protegido de tal modo que solo tiene acceso un administrador («ingeniero»). En el funcionamiento normal, un usuario debe autorizar el acceso a un administrador, lo que significa que para el funcionamiento normal existe un proceso de protección de los datos en dos fases.

¿Durante cuánto tiempo se conservan los datos?

Los datos del usuario se conservan hasta que sea eliminado por el administrador del sistema. Es responsabilidad del administrador del sistema comunicar de manera transparente el periodo de conservación de los datos.

¿Cuál es la política para tratar las solicitudes de acceso a los datos personales?

Si existe una solicitud, es responsabilidad del responsable del tratamiento o del encargado del tratamiento de definir la política y aportar los datos de forma rápida de acuerdo con el RGPD.

Los usuarios con suficientes derechos pueden leer desde el sistema SPC el nombre de usuario y el número de tarjeta.

¿Cuál es el procedimiento en caso de que alguien pida que se eliminen sus datos del sistema?

Si existe una solicitud, es responsabilidad del responsable del tratamiento o del encargado del tratamiento de definir la política y eliminar los datos de forma rápida de acuerdo con el RGPD.

Eliminando el nombre de usuario, el pin y la tarjeta del sistema SPC se puede eliminar la cuenta de un usuario del sistema.

¿Quién tiene acceso a los datos?

Es responsabilidad del responsable del tratamiento o del encargado del tratamiento comunicar quién tiene acceso a los datos personales en el sistema SPC instalado en el centro. Vanderbilt no tiene acceso a los datos personales ni tiene la capacidad para tratarlos en un sistema SPC in situ.

¿Se transfieren los datos fuera del EEE?

En el modo de funcionamiento normal, los datos del usuario de SPC no se comparten fuera del sistema. Es responsabilidad del responsable del tratamiento o del encargado del tratamiento comunicar si el sistema está configurado de modo que transfiere datos fuera del EEE.