Graebel
Cumplimiento de GDPR
3:1

Cumplimiento de GDPR

Chris Encuadernación

Por: Sue Diltz, CIO / Directora de seguridad y privacidad

El Reglamento General de Protección de Datos (RGPD) de la Unión Europea (UE), en vigor desde el 25 de mayo de 2018, mejora la seguridad de la información personal de los ciudadanos y residentes de los países de la UE, así como de Noruega, Islandia y Liechtenstein. El estándar unificado también cubrirá a los ciudadanos y residentes del Reino Unido después deBrexit. Es difícil imaginar una empresa o industria que ofrezca bienes o servicios en Europa que no se vean afectados por estos requisitos detallados de protección de datos personales.

Hablando en nombre de Graebel, doy la bienvenida a las nuevas regulaciones. Son rigurosos pero razonables y coherentes con el espíritu de seguridad y transparencia con el que hemos manejado la información personal en el pasado, no solo en Europa sino en todo el mundo.

 

Los requisitos

En general, el RGPD se basa en los estándares de privacidad anteriores de la UE: la Directiva de protección de datos de 1995. Amplía y aclara esos requisitos en áreas que incluyen:

  • Ámbito territorial - Se aplicará a todas las organizaciones con acceso a la información personal de los residentes de estos países, independientemente de dónde tenga su sede la empresa.
  • Multas - Se gradúa y se tapa la nueva estructura de multas. Las multas máximas son mayores que en el pasado.
  • Consentimiento - Los formularios de consentimiento deben ser claros y concisos con un mínimo de "jerga legal"
  • Derechos de las personas:
    • Notificación de incumplimiento - Deben ser notificados dentro de las 72 horas posteriores al descubrimiento de una violación de su información.
    • Derecho de acceso - Pueden solicitar información sobre sus datos personales mantenidos por la organización
    • "Derecho al olvido" - Pueden solicitar a la organización que borre su información personal
    • Portabilidad de datos - Pueden recuperar su información y compartirla con otra entidad
  • Privacidad por diseño - La seguridad de la información personal debe ser un componente del diseño inicial de cualquier sistema que use o contenga dichos datos.
  • Delegados de protección de datos - Las organizaciones deben nombrar un Delegado de Protección de Datos si sus actividades de procesamiento de información personal exceden un cierto umbral.

Para obtener más información sobre estos temas, puede ir directamente a la fuente y revisar el material de la UE, incluido un útil resumen de los requisitos.

 

GDPR y movilidad

Como empresa de gestión de reubicación (RMC), todos los días se nos confía información básica de identificación personal para cesionarios y cesionarios. Y en casos de inmigración y otras funciones, podemos requerir y almacenar información personal que es aún más sensible, relacionada, por ejemplo, con la ciudadanía, el género, el estado civil e incluso el lugar de nacimiento. La protección de esta información es fundamental.

Y nuestras obligaciones de GDPR se extienden a cada una de las empresas asociadas y proveedores de servicios con los que compartimos esta información mientras trabajan en nombre de nuestros clientes. Ésa es una de las razones por las que examinamos cuidadosamente nuestros socios de servicios globales - las empresas que gestionan servicios de reubicación específicos, desde la gestión de enseres domésticos hasta la inmigración y el apoyo fiscal. No solo debemos asegurarnos de que están cuidando de manera excelente a nuestros clientes, debemos verificar que tengan los sistemas adecuados para proteger la información personal confidencial.

La Asociación Europea de Reubicación (EuRA) ha publicado una extensa revisión de la disposiciones clave del RGPD desde la perspectiva de la industria de la movilidad.

 

Graebel está listo

Tras la adopción del RGPD en abril de 2016, Graebel creó un equipo de evaluación multifuncional y comenzó el proceso de actualización de nuestras políticas y procedimientos para integrar los nuevos requisitos. Desde entonces, hemos tomado las siguientes medidas, que se completarán antes del 25 de mayo:

  • Contrató a un tercero (TrustArc) para realizar una evaluación de la brecha priorizada para identificar los pasos que teníamos que tomar
  • Realización de un inventario de datos y mapas de procesos comerciales para abordar el artículo 30 del RGPD.
  • Identificó todas las aplicaciones externas que recopilan datos y luego creó avisos de privacidad relacionados
  • Documentamos nuestros procesos como controlador de datos y procesador de datos para abordar el artículo 30.1 del RGPD.
  • Código personalizado desarrollado para nuestros avisos de cookies / proceso de consentimiento
  • Se validó nuestra política de retención de registros para alinearla con los artículos 5/25 del RGPD.
  • Se actualizó nuestro Plan de respuesta a incidentes para garantizar que los procesos de notificación estén en su lugar para las personas y las autoridades de conformidad con los artículos 32/33 del RGPD.
  • Desarrollé un proceso y un plan para las Evaluaciones de impacto en la privacidad de los datos para abordar el Artículo 6.4 del RGPD.
  • Actualizamos nuestros contratos con clientes y proveedores para abordar el artículo 30 del RGPD
  • Capacitación de empleados desarrollada para preparar equipos para sus responsabilidades específicas relacionadas con los requisitos de GDPR
  • Creó procesos internos para respaldar los elementos de derechos individuales de GDPR relacionados con los artículos 15/17/20
  • Desarrollé un plan de prueba anual de nuestro programa de cumplimiento de GDPR, incluida la notificación de incumplimiento

Una vez más, felicitamos a los países de la UE por la forma reflexiva en la que han redactado estas nuevas regulaciones. Sí, prepararnos para esto ha sido mucho trabajo para nosotros y para otros RMC. Pero nuestros procesos son mejores porque los requisitos se basan en un enfoque muy defendible para proteger la privacidad individual.

¡Brindemos por el mundo que tenemos por delante!

Chris Encuadernación