¿Cómo apoyará ZEROSIX a sus clientes, comerciantes independientes y marcas, en su propio cumplimiento del RGPD?
ZEROSIX actúa como subcontratista, según lo estipulado en el RGPD, y en lo concerniente a los datos personales de sus clientes comerciales que son procesados por sus herramientas y aplicaciones.
Para ello, y en el ámbito de los datos personales encomendados a ZEROSIX, ZEROSIX propone acompañar a sus clientes, en su calidad de responsables del tratamiento, en la implementación del propio cumplimiento de las obligaciones derivadas del RGPD, a saber :
La protección de datos personales desde el diseño de herramientas, sistemas, productos o servicios (Privacy by design)
La implementación de un inventario de procesamiento de datos
La evaluación del nivel de seguridad de los datos y, en su caso, el lugar de las medidas apropiadas en ante un riesgo comprobado
Anticipación y planificación interna de un procedimiento sencillo y eficaz en caso de que se detecte una brecha de seguridad
Sensibilizar a empleados y socios sobre el espeto de los derechos humanos.
Además, ZEROSIX informará periódicamente a sus clientes sobre los cambios normativos en su política de privacidad.
1) Protección de datos desde la etapa de diseño
El principio de protección de datos personales, en el corazón del RGPD, requiere la implementación de medidas proactivas y preventivas a partir del diseño de proyectos, productos o procedimientos que traten estos datos, y que consisten en:
Garantizar la protección implícita y automática de la privacidad
Integrar la protección de la privacidad en el diseño de sistemas y prácticas
Garantizar la seguridad óptima de los datos de un extremo a otro durante su período de retención
Garantizar la visibilidad y la transparencia
Respetar la privacidad del usuario
Esto se traduce en medidas muy concretas :
El usuario no debe tener que marcar una casilla, o cualquier otra acción de este tipo,
para la protección de sus datos personales que deben ser proporcionados por por defecto.
En consecuencia, cualquier recopilación y procesamiento de los datos personales de un usuario debe ser objeto de su
consentimiento explícito
El usuario debe estar completamente informado de los métodos y fines del procesamiento de sus datos
Solo se deben recopilar los datos estrictamente necesarios para los fines proporcionados, con exclusión de cualquier otro;
El usuario debe podercomprobar, modificar, suprimir y obtener la portabilidadde sus datos en cualquier momento por parte del responsable del tratamiento
Los datos sólo podrán conservarse el tiempo necesario para los fines de su tratamiento.
Todas estas medidas se están integrando en los procesos de ZEROSIX, con el fin de brindar a sus clientes servicios que cumplan plenamente con el RGPD. Esto será visible en la actualización de interfaces y formularios de las aplicaciones ZEROSIX (Tablero de control, espacio de fidelización en línea, etc.)
Además, ZEROSIX comunicará periódicamente a sus clientes las mejores prácticas a seguir en cuanto a la recogida y conservación de los consentimientos de sus clientes, así como los distintos avisos informativos obligatorios de los servicios prestados por ZEROSIX.
ZEROSIX también puede ofrecer educar o capacitar a los empleados de sus clientes en los desafíos del RGPD.
2) El inventario de operaciones de procesamiento de datos y el mantenimiento de un registro de actividades de procesamiento
Con el RPGD, cada dato personal procesado debe ser registrado y rastreado, lo que implica llevar un registro interno de operaciones de procesamiento que contenga la siguiente información:
el nombre y los datos de contacto de cada responsable del tratamiento y subtratamiento
la finalidad del tratamiento
la descripción de las categorías de interesados y de los datos personales
las categorías de destinatarios a los que se comunican los datos personales
posibles transferencias de datos fuera de la UE (si existen)
en la medida de lo posible, en los plazos previstos para el borrado de las distintas categorías de datos
una descripción general de las medidas técnicas y organizativas de seguridad
A estos efectos, ZEROSIX pondrá a disposición de sus clientes, para su descarga en el apartado « Tablero de control » :
Un registro de tratamiento de datos
Mapeo de los tratamientos subcontratado a ZEROSIX
Descripción de las medidas de seguridad técnicas y organizativas implementadas
3) Seguridad de los datos
En el sentido del RGPD, existe una violación de la seguridad de los datos cuando hay destrucción, pérdida, alteración, divulgación o acceso no autorizado a los datos personales. Por lo tanto, el RGPD requiere que el responsable del tratamiento (así como el contratista) implemente medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adaptado a los riesgos en los que incurren las personas cuyos datos se recopilan y procesan, tales como :
Creación de seudónimos, encriptación de datos
Implementar medios para garantizar la confidencialidad, integridad, disponibilidad de los sistemas y servicios de procesamiento
Implementar medios para restaurar la disponibilidad y el acceso a los datos de manera oportuna en caso de incidentes físicos o técnicas
Asegurar el establecimiento de un procedimiento destinado a probar, analizar y evaluar la efectividad de las medidas técnicas y organizativas para garantizar su seguridad.
Para estos efectos, ZEROSIX pondrá a disposición de sus clientes :
Una política de autenticación reforzada para acceder a sus aplicaciones, en particular para las contraseñas
Descripción de las medidas técnicas adoptadas para fortalecer las copias de seguridad de los datos
Descripción más general de todas las medidas de seguridad técnicas y organizativas implementadas
4) Notificación de brechas de seguridad
Como controlador de datos, los clientes de ZEROSIX deben notificar a la CNIL y a la persona física interesada las brechas de seguridad en un plazo de 72 horas si es probable que generen un alto riesgo para sus derechos y libertades.
Como subcontratista, ZEROSIX informará a sus clientes si dicho evento ocurre dentro de su perímetro de procesamiento, y luego les informará del procedimiento a seguir.
5) Fortalecimiento de la protección de datos en la interfaz de los socios
Como responsable del tratamiento, los clientes de ZEROSIX deben consultar las cláusulas de los contratos de sus proveedores de servicios especificando la naturaleza y duración del tratamiento realizado en su nombre, así como las cláusulas de los contratos que les otorgan un garantía predeterminada del más alto nivel de seguridad y confidencialidad de los datos personales procesados en su nombre.
Para el Delegado de Protección de Datos de ZEROSIX :
“La elección de los prestadores de servicios es clave para las empresas en el contexto de su cumplimiento del RGPD, más aún en la gestión de su programa de fidelización, dada la diversidad de tratamientos y cantidad de datos personales tratados. El editor del software del programa de fidelización debe poder garantizar que todos los actores que intervienen en la cadena de procesamiento cumplen con el RGPD ”.