Novedades del sector

Adaptar los clubes de golf al Reglamento de Protección de Datos

El próximo 25 de mayo de 2018 entra en vigor el Reglamento general de protección de datos (RGPD) en toda Europa. ¿Sabes lo que significa este reglamento y cómo afectará a tu campo de golf? El RGPD exige que las empresas cuenten con un profesional que haga las veces de auditor interno y, en su papel, identifique los riesgos en la protección de determinados datos y aporte soluciones a la compañía.

Vamos a intentar explicártelo en este artículo.

La regulación consta de 4 áreas principales:

El plano legal, el plano de las tecnologías de la información, los procedimientos internos y la educación

Plano Legal

El RGPD le impone declaraciones secretas, una política de privacidad y acuerdos de procesador. Con cada tercero (procesadores) que está compartiendo datos personales, debe tener un acuerdo. Esto podría ser con una oficina de impresión, servidores de datos, el sistema con el que está enviando sus boletines, etc. Dentro de ese acuerdo debería haber información sobre la seguridad de los datos, así como la eliminación de los datos cuando los datos ya no son necesarios.

Un punto importante es el derecho a ser olvidado. Las empresas tienen que informar a sus miembros de qué manera están capturando datos personales y cómo se pueden eliminar esos datos. La mejor manera de hacerlo es agregarlo a su política de privacidad y poner esa política en su sitio web.

Plano TIC

El software y los escáneres de virus deben estar actualizados, siempre. Y las copias de seguridad son obligatorias. Estas copias de seguridad deben protegerse para proteger los datos personales contra pérdida y ransomware. Esto significa que todos los soportes de datos (como un USB) deben estar protegidos.

Otra regla es que el almacenamiento de datos (en la nube) no está permitido fuera de la UE. Si ese es el caso, debe ser cierto que las reglas de protección de datos son las mismas que en la UE. Por ejemplo, no se permite el almacenamiento de datos en los EE. UU. Ya que no siguen las mismas reglas de protección de datos.

Procedimientos internos

Es importante que su organización haga un inventario de los datos personales que ha capturado. Todos los canales y fuentes (correos electrónicos, archivos de Excel, archivos en la nube, archivos impresos, sistema CRM, etc.) deben verificarse y colocarse en un documento con información sobre el tipo de datos personales que posee. Muy Importante: solo puede guardar datos personales si tiene un motivo / propósito para ello, con el permiso de esa persona.

En segundo lugar, debe asegurarse de que no todos puedan ver esta información. Tienes que protegerlo con una contraseña o guardarlo en un armario que se puede bloquear. En ese caso, también debe tener una política clave; quién guarda la llave y quién puede usarla.

Educación

La conciencia es muy importante y debe expresarse claramente a todos los empleados y voluntarios. Asegúrese de que todos sepan qué pueden y qué no pueden hacer y qué procedimientos están en marcha.

Mapa detallado tema por tema - Regulación general de protección de datos

  1. Datos personales: Los datos personales consisten en todos los datos que proporcionarán información sobre una persona física identificable. También la información de los miembros de una empresa profesional o los datos personales de los empleados de las organizaciones miembro son parte de esta regulación.

Hay 2 tipos de datos personales:

  • Datos personales normales

(nombre, dirección, código postal, ciudad, provincia, país, lugar de residencia, número de teléfono, número de fax, dirección de correo electrónico, sitio web, sexo, fecha de nacimiento, lugar de nacimiento, títulos, estado civil, LinkedIn, Facebook, Twitter, trabajando para una organización, número de cuenta bancaria, matrícula)

  • Datos personales específicos

(origen étnico, preferencia política, preferencia religiosa, miembro de un sindicato, datos genéticos o biométricos relativos a la identificación, información sobre la salud, orientación sexual, datos penales, información sobre el salario, copia del pasaporte, número de identificación)

El 'procesamiento' de datos personales se compone de todas las acciones que realiza con esos datos. Los datos de procesamiento pueden ser una lista de miembros de Excel, una lista con direcciones para el boletín informativo, etc. Lo más importante que tiene que hacer con esta información es hacer un inventario de la misma. Haga una descripción clara de los datos que está guardando.

Importante: no se permite el procesamiento de datos personales específicos a menos que tenga un permiso explícito para hacerlo.

  1. Propósito

Es importante que utilice los datos con el mismo propósito que el motivo por el que recibió los datos. La persona en cuestión le dio los datos con un propósito específico (convertirse en miembro de su organización) y esa es la única razón por la que puede usar esos datos.

Asegúrese de incluir en el acuerdo de membresía que los datos personales serán utilizados de acuerdo con su política de privacidad. Puede agregar la política de privacidad o consultar la política en algún lugar de su sitio web.

  1. Autorización de empleados

Es aconsejable anotar qué personas están autorizadas para ver datos personales y procesar esos datos. Asegúrese de que las personas autorizadas firmen una promesa de secreto.

  1. Permiso a una minoría de edad

Si los datos personales pertenecen a una persona menor de 16 años, debe contar con la aprobación por escrito (firma en papel) de un padre (de crianza) o representante legal.

Importante : si la membresía depende de la edad, necesita una fecha de nacimiento en el momento de la inscripción. Si ese no es el caso, no está permitido conservar esos datos personales ya que no los necesita para un propósito específico.

  1. Eliminar datos personales

Los datos personales no pueden mantenerse más tiempo de lo necesario. Entonces, si alguien finaliza la membresía, los datos personales de esa persona deben ser eliminados.

  1. Acuerdo de procesador

Como organización, no está permitido compartir datos personales sin un acuerdo. Con un acuerdo, solo está permitido compartir datos personales en caso de que sea necesario para lograr un propósito determinado.

  1. Nunca almacene datos fuera de la UE

El almacenamiento de datos (en la nube) no está permitido fuera de la UE. Si ese es el caso, debe ser cierto que las reglas de protección de datos son las mismas que en la UE. Por ejemplo, el almacenamiento de datos en los EE. UU. No está permitido ya que no siguen las mismas reglas sobre protección de datos.

  1. Derecho de participación y política de privacidad

Debe tener una política de privacidad. Debe informar a la gente sobre esa política de privacidad en caso de que guarde sus datos personales. Las personas deberían poder encontrar fácilmente esa declaración de privacidad que incluye información sobre sus derechos. La manera más fácil de hacerlo es agregar la política de privacidad en su sitio web y referirse a ella en todos los documentos y correos electrónicos.

Qué hacer y no hacer cuando se trata de privacidad:

  • Siempre bloquee su pantalla cuando salga de su escritorio.
  • Nunca deje documentos con datos personales en su escritorio o en la impresora.
  • Nunca elija guardar sus datos de inicio de sesión automáticamente en su computadora.
  • Sepa que las redes públicas no son seguras.
  • Presta atención a lo que compartes en las redes sociales.
  • Siempre cubra su cámara web para evitar que la gente lo mire a usted.
  • Nunca comparta sus datos de inicio de sesión con sus colegas.
  • Asegúrate de que tu teléfono móvil esté protegido con una contraseña.

Nota : una persona siempre tiene el derecho de revisar los datos personales de él / ella. Por ejemplo, puede entregarles una copia del formulario de registro.

  1. Seguridad de datos personales

Cuando se trata de la seguridad de los datos personales, debes tomar las siguientes medidas:

  • Encripte sus soportes de datos (USB, etc.) y asegúrese de que los datos personales no sean legibles para los demás.
  • Cuida el secreto, la integridad y la disponibilidad de los datos personales.
  • Cuide la posibilidad de recuperar datos en caso de incidentes físicos / técnicos.
  • Pruebe y evalúe la seguridad de forma regular.

10. Seguridad de acceso

Todos los datos personales deben estar protegidos con una contraseña y si es posible también con un nombre de usuario.

11. Sistema de seguridad

Para mantener los sistemas lo más seguros posible, debe asegurarse de que se mantengan actualizados. Puede hacerlo activando la instalación automática de las actualizaciones del software. También ponga un buen software antivirus que se actualice automáticamente.

12. Apoyo

Para proteger los datos de pérdida y ransomware, es necesario realizar una copia de seguridad de forma regular. Asegúrese de que esta copia de seguridad esté almacenada en un lugar seguro.

13. Documentos seguros

Los datos personales también se almacenan en papel. Todos los documentos con datos personales deben almacenarse en algún lugar de un armario que pueda bloquearse. Solo los empleados que necesitan esa información personal para hacer su trabajo pueden ingresar.

Nota: en caso de que tenga datos personales en papel y los almacene en algún lugar, es aconsejable establecer un procedimiento clave. Escriba en ese procedimiento quién conserva la llave y quién puede usar la llave.

Ley orgánica de protección de datos