Preguntas frecuentes sobre el RGPD
Conceptos básicos del RGPD
¿Qué es el RGPD?
El Reglamento General de Protección de Datos (“RGPD”) es la nueva legislación de privacidad de la Unión Europea, que entró en vigor el 25 de mayo de 2018. Sustituye a la anterior Directiva de Protección de Datos 95/46/EC con protecciones más amplias para la privacidad de los residentes de la UE.
¿Qué derechos deben permitir las empresas en virtud del RGPD?
El RGPD otorga los siguientes derechos a los residentes de la UE:
- El derecho a ser informado sobre cómo se utilizan los datos personales,
- El derecho de acceso a los datos personales poseídos por una organización,
- El derecho a eliminar o corregir datos personales incorrectos,
- El derecho a que se eliminen los datos personales en determinadas circunstancias (llamado también el “derecho al olvido”),
- El derecho a restringir el tratamiento de sus datos personales o a oponerse a dicho tratamiento,
- El derecho a restringir u oponerse al tratamiento automatizado de datos personales, y
- El derecho a recibir una copia de los datos personales.
¿Cómo sé si los datos que está procesando mi organización están cubiertos por el RGPD? ¿Cuál es el significado de “Datos personales”?
El RGPD regula la recopilación, el almacenamiento, el uso y el intercambio de “datos personales”. Los datos personales se encuentran ampliamente definidos en el marco del RGPD como cualquier dato relacionado con una persona física identificada o identificable. No hay distinción entre las funciones privadas, públicas o laborales de una persona. Los datos personales pueden incluir:
Identidad
- Dirección particular
- Dirección del trabajo
- Número de teléfono
- Número de teléfono móvil
- Dirección de correo electrónico
- Número de pasaporte
- Documento nacional de identidad
- Número de la Seguridad Social (o equivalente)
- Permiso de conducción
- Información física, fisiológica o genética
- Información médica
- Identidad cultural
Datos financieros
- Datos bancarios / números de cuenta
- Información fiscal
Presencia en línea
- Publicaciones en redes sociales
- Dirección IP
- Ubicación / datos GPS
- Cookies
Además, el tratamiento de determinadas categorías “especiales” de datos personales –como los datos personales que revelan el origen racial o étnico de una persona o que se refieren a su salud u orientación sexual– está sujeto a normas más estrictas que el tratamiento de datos personales ordinarios.
¿Qué son los Encargados del tratamiento y los Responsables del tratamiento?
El “responsable del tratamiento” es una persona física o jurídica, autoridad pública, organismo u otro organismo que, por sí solo o conjuntamente con otros, establece las finalidades y los medios de procesamiento de datos personales.
El “encargado del tratamiento” es una persona física o jurídica, autoridad pública, agencia u otro organismo que procesa los datos personales en nombre del responsable del tratamiento.
El RGPD se aplica tanto a los responsables del tratamiento como a los encargados del tratamiento. Los responsables del tratamiento sólo deben utilizar encargados del tratamiento que tomen medidas para cumplir con los requisitos del RGPD. De conformidad con el RGPD, los encargados del tratamiento se enfrentan a obligaciones y responsabilidades adicionales en caso de incumplimiento o de actuación fuera de las instrucciones proporcionadas por el responsable del tratamiento
¿Qué es el tratamiento?
“tratamiento”: Cualquier operación o conjunto de operaciones que se realice en datos personales o en conjuntos de datos personales, independientemente de si se realizan o no con medios automatizados, como la recopilación, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o puesta a disposición, alineación o combinación de otros elementos, restricción, eliminación o destrucción.
¿Puedo transferir datos personales fuera de la UE?
Sí, la transferencia de datos personales fuera del Espacio Económico Europeo está permitida siempre que se cumplan determinadas condiciones para garantizar las garantías adecuadas. Es posible que necesite establecer un mecanismo legal específico, como un contrato, o adherirse a un mecanismo de certificación para permitir estas transferencias.
¿Cómo se regula la transferencia de datos personales fuera de la UE?
El RGPD prevé diversos mecanismos para facilitar la transferencia de datos personales fuera de la UE. Estos mecanismos tienen por objeto confirmar un nivel adecuado de protección o garantizar la aplicación de unas garantías adecuadas cuando se transfieren datos personales a un tercer país. Las cláusulas contractuales tipo pueden proporcionar garantías adecuadas. También se puede confirmar un nivel adecuado de protección mediante decisiones de adecuación, como la decisión en la que se basa el Marco de Escudos de la Privacidad UE-EEUU
¿Cuál es la responsabilidad de una organización en el marco del RGPD en respuesta a las violaciones la seguridad de los datos personales?
El RGPD impone obligaciones estrictas para los encargados del tratamiento y los responsables del tratamiento con respecto a la notificación de las violaciones de la seguridad de los datos personales. Los encargados del tratamiento deben notificar al responsable del tratamiento la violación de la seguridad de datos personales de inmediato una vez hayan tenido conocimiento de ello. Después de haber sido informado de la infracción, el responsable del tratamiento debe notificarlo a la autoridad de protección de datos pertinente en un plazo de 72 horas. En caso de que la violación de la seguridad pueda comportar un riesgo elevado para los derechos y libertades de las personas, los responsables del tratamiento deberán notificarlo también de inmediato a los interesados.
¿A cuánto pueden ascender las multas a las empresas por incumplimiento?
Las empresas pueden ser multadas con un máximo de 20 millones de euros o el 4% de la facturación global anual, la cantidad que sea mayor, por el incumplimiento de los requisitos del RGPD. También pueden aplicarse medidas correctivas individuales adicionales.
¿Dónde puedo obtener más información sobre el RGPD?
Las normas y reglamentos del RGPD pueden encontrarse en https://ec.europa.eu/info/law/law-topic/data-protection_en. Además, la Asociación Internacional de Profesionales de la Privacidad posee recursos exhaustivos sobre el RGPD y la privacidad en general en https://iapp.org/resources/. JAGGAER también recomienda que revise regularmente el sitio web de su autoridad nacional o principal de protección de datos, según corresponda, para obtener actualizaciones y orientación.
Cumplimiento del RGPD por parte de JAGGAER
¿Dónde puedo encontrar los compromisos contractuales de JAGGAER con respecto al RGPD?
Los clientes pueden encontrar los compromisos contractuales de JAGGAER con respecto al RGPD en el Anexo Tratamiento de los Datos de los Clientes, disponible aquí.
¿Cómo conciencia JAGGAER a sus empleados sobre la protección de los datos personales y la privacidad?
Los empleados de JAGGAER son conscientes de sus obligaciones de proteger los datos de los clientes en el momento de su contratación y están obligados a firmar un acuerdo de confidencialidad que, entre otras obligaciones, requiere que los empleados mantengan la confidencialidad de los datos de los clientes. Además, JAGGAER imparte anualmente formación sobre seguridad y privacidad entre sus empleados. La formación relacionada con la concienciación sobre el RGPD ha sido añadida como un requisito para nuestros empleados. Los empleados de JAGGAER también están obligados a reconocer y cumplir con el Código de Conducta y Ética Empresarial de JAGGAER, que aborda específicamente las responsabilidades y el comportamiento esperado con respecto a la protección de los datos de los clientes.
¿Sobre qué base facilita JAGGAER la transferencia de datos personales fuera de la UE?
Como empresa mundial con amplias operaciones dentro y fuera del Espacio Económico Europeo, a menudo es necesario que JAGGAER transfiera datos entre varias unidades de negocio. JAGGAER ha utilizado durante mucho tiempo las cláusulas tipo de la UE como base para la transferencia de datos para sus soluciones. Las cláusulas tipo de la UE son términos estándares proporcionados por la Comisión Europea que pueden utilizarse para la transferencia conforme de datos fuera del Espacio Económico Europeo. JAGGAER ha incorporado las cláusulas tipo de la UE en su Anexo Tratamiento de los Datos.
Además, JAGGAER cuenta con la certificación de los Marcos de Escudos de la Privacidad UE-EEUU u Suiza-EEUU, según lo establecido por el Departamento de Comercio estadounidense en relación con la recopilación, uso, procesamiento y transferencia transfronteriza de datos personales de la UE y Suiza a los Estados Unidos, respectivamente. En virtud de estos Marcos de Escudos de la Privacidad, JAGGAER es responsable del tratamiento de los datos personales que recibe y posteriormente transfiere a un tercero. JAGGAER cumple con los principios de Protección de la Privacidad para todas las futuras transferencias de datos personales de la UE y Suiza, incluyendo las disposiciones sobre la transferencia de responsabilidad. Para obtener más información sobre estos Marcos de Escudos de la Privacidad y ver la certificación de JAGGAER, visite https://www.privacyshield.gov/welcome.
¿Cómo puede saber un cliente (en su condición de responsable del tratamiento de los datos personales en virtud del RGPD) que JAGGAER (en su condición de encargado del tratamiento de los datos personales en virtud del RGPD) posee las garantías técnicas y organizativas adecuadas para proteger los datos personales del cliente?
En el marco del RGPD, los responsables del tratamiento y los encargados del tratamiento deben aplicar las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo. JAGGAER se compromete a contar con procedimientos de seguridad y garantías integrales en nuestras plataformas y unidades de negocio que hayan sido diseñadas para proteger los datos personales de los clientes contra (i) la destrucción, pérdida o alteración accidental o ilegal y (ii) la divulgación o el acceso no autorizado. Debe proporcionarse una descripción de nuestros derechos de auditoría en virtud del RGPD a los responsables del tratamiento en sus contratos con los encargados del tratamiento. El Anexo Tratamiento de los Datos de los Clientes de JAGGAER incluye los derechos de auditoría en favor de nuestros clientes. Las normas y certificaciones de JAGGAER, incluidas las certificaciones de la Organización Internacional de Normalización (“ISO”) y la norma de Controles de la Organización de Servicios (SOC) 2 del Instituto Americano de Contadores Públicos Certificados (AICPA), pueden ser utilizadas por los clientes para realizar sus evaluaciones de riesgos y validar las garantías técnicas y organizativas adecuadas.
¿Qué compromisos de protección de datos adquiere JAGGAER?
Nuestros Anexos Tratamiento de los Datos, que han sido actualizados para garantizar el cumplimiento del RGPD, describen los compromisos de JAGGAER en materia de privacidad con nuestros clientes y los compromisos de privacidad de los subencargados del tratamiento que acceden a los datos personales de nuestros clientes. Nuestros clientes pueden ver y suscribir en el Anexo Tratamiento de los Datos con JAGGAER aquí. Cualquier dato que un cliente o sus usuarios introduzcan en nuestras aplicaciones de software solo se procesará de acuerdo con las instrucciones del cliente, tal como se describe en nuestro Anexo Tratamiento de los Datos.
¿Cómo garantiza JAGGAER que los subencargados del tratamiento contratados por JAGGAER cumplen con el RGPD, incluidas las garantías técnicas y organizativas adecuadas para proteger los datos personales de los clientes?
Aunque JAGGAER y sus empresas filiales realizan directamente la mayoría de las actividades de tratamiento de los datos necesarias para el ofrecimiento de las aplicaciones y servicios de software de JAGGAER, contratamos a algunos proveedores de servicios externos para que ayuden en nuestras ofertas. Cada proveedor de servicios pasa por un riguroso proceso de selección para asegurarnos de que cuenta con la experiencia técnica necesaria y puede ofrecer el nivel adecuado de seguridad y privacidad. Los proveedores de servicios que procesan los datos en nombre de JAGGAER deben suscribir los Anexos Tratamiento de los Datos con JAGGAER para quedar sometidos al mismo nivel de protección que los acuerdos que JAGGAER suscribe a con sus clientes y acordes con el RGPD.
¿Qué subencargados del tratamiento utiliza JAGGAER?
Aquí encontrará una lista de los proveedores de servicios de JAGGAER que pueden procesar los datos personales de los clientes proporcionados por los clientes con el uso de nuestras aplicaciones de software (“subencargados del tratamiento”). Los clientes serán notificados de cualquier nuevo subencargado y tendrán la oportunidad de oponerse, según lo previsto en el RGPD.
¿Cómo permite JAGGAER que los responsables del tratamiento puedan garantizar los derechos de los interesados?
Los clientes pueden utilizar los derechos administrativos y la funcionalidad disponibles en las aplicaciones de software de JAGGAER para poder acceder, rectificar, restringir el tratamiento o eliminar cualquier dato que ellos o sus usuarios coloquen en nuestras aplicaciones de software, de conformidad con la retención por parte de JAGGAER de los datos del usuario según lo establecido o permitido por la legislación aplicable a los efectos del archivo o conservación de registros.
¿Qué compromisos contractuales y operativos adquiere JAGGAER para garantizar que los clientes sean notificados con prontitud de cualquier incidente relacionado con sus datos personales en virtud del RGPD?
Como proveedores originales de soluciones de gestión de los gastos basadas en la nube, JAGGAER ha adquirido compromisos en sus contratos con clientes a lo largo de aproximadamente veinte años en relación con la notificación de incidentes. JAGGAER mantiene operaciones de seguridad de datos que garantizan un tiempo de respuesta dentro del período de tiempo exigido por el RGPD.
¿Qué experiencia aporta JAGGAER con respecto a la privacidad y la protección de datos?
JAGGAER emplea a profesionales de la seguridad en Europa y en los Estados Unidos que incluyen a algunos de los más destacados expertos del mundo en información, aplicaciones y seguridad de las redes. Este equipo se encarga de mantener nuestros programas de seguridad, desarrollar procesos de revisión de seguridad, construir infraestructuras de seguridad e implementar nuestras políticas de seguridad y privacidad.
Además, JAGGAER emplea un equipo de privacidad compuesto por profesionales experimentados tanto en EEUU como en Europa. JAGGAER colabora también con expertos en privacidad y cumplimiento de normativas en todo el mundo, incluido nuestro socio jurídico de privacidad, K&L Gates LLP, cuyos abogados fueron consultados por la UE durante el desarrollo del Reglamento General de Protección de Datos (RGPD) de la UE y nuestro socio de cumplimiento jurídico, Baker & McKenzie LLP, regularmente considerado como el bufete de abogados más prestigioso según el Índice Mundial de Bufetes de Abogados de Élite de Acritas. Nuestro equipo de privacidad y cumplimiento tiene la tarea de mantener los programas de privacidad y cumplimiento de JAGGAER, implementar nuestras políticas de privacidad y comprometerse regularmente con los clientes para garantizar que estamos cumpliendo con las necesidades de privacidad y cumplimiento de nuestros clientes.
¿Quién puede, ya sea un cliente o un interesado, contactar para preguntar o comentar sobre los datos personales mantenidos por JAGGAER, el RGPD o la privacidad en general?
Los clientes y los interesados pueden ponerse en contacto con el equipo de privacidad de datos de JAGGAER, ubicado tanto en la UE como en EEUU, a través del Portal de Información sobre la Privacidad de los Datos. Además, los clientes y los interesados pueden ponerse en contacto directamente con el Delegado de Protección de datos en Privacy@jaggaer.com.