RGPD : nuestra implicación, nuestros compromisos

El reglamento 2016/679 del 27 de abril de 2016 sobre protección de datos personales de residentes en la Unión Europea entra en vigor a partir del 25 de mayo de 2018 (RGPD: Reglamento General de Protección de Datos Personales).

Su finalidad es reforzar los derechos de los residentes de la Unión Europea sobre sus datos personales, cuyo tratamiento por parte de determinados actores web ha resultado en ocasiones opaco y / o abusivo, lo que ha provocado una desconfianza generalizada.

Por lo tanto, el RGPD establece un conjunto de nuevas obligaciones para las empresas que procesan datos personales de residentes de la UE.

Por lo tanto, es un gran desafío para todos nuestros clientes - minoristas y marcas - pero también para ZEROSIX, que se ha estado preparando activamente durante varios meses para la implementación de medidas organizativas, legales y digitales para cumplir con el RGPD.

Concretamente, ¿cómo se prepara ZEROSIX?

ZEROSIX ha optado por contar con el apoyo de profesionales especializados y también ha decidido nombrar un Delegado de Protección de Datos (DPD) para garantizar la sostenibilidad y eficacia de las medidas de protección y gobernanza implantadas.

Todos los empleados de ZEROSIX están involucrados en el desarrollo de prácticas simples y efectivas, integradas en todos sus servicios y en todos sus procesos con el fin de garantizar el cumplimiento de las obligaciones derivadas del RGPD.

¿Cuáles son los compromisos prioritarios de ZEROSIX?

En su programa de cumplimiento, ZEROSIX privilegia tres ejes principales:

  • Tener en cuenta la privacidad en todo el proceso de diseño y en el seguimiento de los servicios desarrollados e implementados (“Privacidad por diseño”)

  • La formalización de una política de privacidad interna, en particular un “Compendio de mejores prácticas para datos personales”

  • Control de sus subcontratistas y terceros proveedores en lo que respecta al cumplimiento de las obligaciones de seguridad y confidencialidad de los datos.

¿Cómo apoyará ZEROSIX a sus clientes, comerciantes independientes y marcas, en su propio cumplimiento del RGPD?

ZEROSIX actúa como subcontratista, según lo estipulado en el RGPD, y en lo concerniente a los datos personales de sus clientes comerciales que son procesados por sus herramientas y aplicaciones.

Para ello, y en el ámbito de los datos personales encomendados a ZEROSIX, ZEROSIX propone acompañar a sus clientes, en su calidad de responsables del tratamiento, en la implementación del propio cumplimiento de las obligaciones derivadas del RGPD, a saber :

  • La protección de datos personales desde el diseño de herramientas, sistemas, productos o servicios (Privacy by design)

  • La implementación de un inventario de procesamiento de datos

  • La evaluación del nivel de seguridad de los datos y, en su caso, el lugar de las medidas apropiadas en ante un riesgo comprobado

  • Anticipación y planificación interna de un procedimiento sencillo y eficaz en caso de que se detecte una brecha de seguridad

  • Sensibilizar a empleados y socios sobre el espeto de los derechos humanos.

Además, ZEROSIX informará periódicamente a sus clientes sobre los cambios normativos en su política de privacidad.

1) Protección de datos desde la etapa de diseño

El principio de protección de datos personales, en el corazón del RGPD, requiere la implementación de medidas proactivas y preventivas a partir del diseño de proyectos, productos o procedimientos que traten estos datos, y que consisten en:

  • Garantizar la protección implícita y automática de la privacidad

  • Integrar la protección de la privacidad en el diseño de sistemas y prácticas

  • Garantizar la seguridad óptima de los datos de un extremo a otro durante su período de retención

  • Garantizar la visibilidad y la transparencia

  • Respetar la privacidad del usuario

Esto se traduce en medidas muy concretas :

  • El usuario no debe tener que marcar una casilla, o cualquier otra acción de este tipo, para la protección de sus datos personales que deben ser proporcionados por por defecto. En consecuencia, cualquier recopilación y procesamiento de los datos personales de un usuario debe ser objeto de su consentimiento explícito

  • El usuario debe estar completamente informado de los métodos y fines del procesamiento de sus datos

  • Solo se deben recopilar los datos estrictamente necesarios para los fines proporcionados, con exclusión de cualquier otro;

  • El usuario debe podercomprobar, modificar, suprimir y obtener la portabilidadde sus datos en cualquier momento por parte del responsable del tratamiento

  • Los datos sólo podrán conservarse el tiempo necesario para los fines de su tratamiento.

TTodas estas medidas se están integrando en los procesos de ZEROSIX, con el fin de brindar a sus clientes servicios que cumplan plenamente con el RGPD. Esto será visible en la actualización de interfaces y formularios de las aplicaciones ZEROSIX (Tablero de control, espacio de fidelidad en línea, etc.)

Además, ZEROSIX comunicará periódicamente a sus clientes las mejores prácticas a seguir en cuanto a la recogida y conservación de los consentimientos de sus clientes, así como los distintos avisos informativos obligatorios de los servicios prestados por ZEROSIX.

ZEROSIX también puede ofrecer educar o capacitar a los empleados de sus clientes en los desafíos del RGPD.

2) El inventario de operaciones de procesamiento de datos y el mantenimiento de un registro de actividades de procesamiento

Con el RPGD, cada dato personal procesado debe ser registrado y rastreado, lo que implica llevar un registro interno de operaciones de procesamiento que contenga la siguiente información:

  • el nombre y los datos de contacto de cada responsable del tratamiento y subtratamiento

  • la finalidad del tratamiento

  • la descripción de las categorías de interesados y de los datos personales

  • las categorías de destinatarios a los que se comunican los datos personales

  • posibles transferencias de datos fuera de la UE (si existen)

  • en la medida de lo posible, en los plazos previstos para el borrado de las distintas categorías de datos

  • una descripción general de las medidas técnicas y organizativas de seguridad

A estos efectos, ZEROSIX pondrá a disposición de sus clientes, para su descarga en el apartado « Tablero de control » :

  • Un registro de tratamiento de datos

  • Mapeo de los tratamientos subcontratado a ZEROSIX

  • Descripción de las medidas de seguridad técnicas y organizativas implementadas

3) Seguridad de los datos

En el sentido del RGPD, existe una violación de la seguridad de los datos cuando hay destrucción, pérdida, alteración, divulgación o acceso no autorizado a los datos personales. Por lo tanto, el RGPD requiere que el responsable del tratamiento (así como el contratista) implemente medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adaptado a los riesgos en los que incurren las personas cuyos datos se recopilan y procesan, tales como :

  • Creación de seudónimos, encriptación de datos

  • Implementar medios para garantizar la confidencialidad, integridad, disponibilidad de los sistemas y servicios de procesamiento

  • Implementar medios para restaurar la disponibilidad y el acceso a los datos de manera oportuna en caso de incidentes físicos o técnicas

  • Asegurar el establecimiento de un procedimiento destinado a probar, analizar y evaluar la efectividad de las medidas técnicas y organizativas para garantizar su seguridad.

Para estos efectos, ZEROSIX pondrá a disposición de sus clientes :

  • Una política de autenticación reforzada para acceder a sus aplicaciones, en particular para las contraseñas

  • Descripción de las medidas técnicas adoptadas para fortalecer las copias de seguridad de los datos

  • Descripción más general de todas las medidas de seguridad técnicas y organizativas implementadas

4) Notificación de brechas de seguridad

Como controlador de datos, los clientes de ZEROSIX deben notificar a la CNIL y a la persona física interesada las brechas de seguridad en un plazo de 72 horas si es probable que generen un alto riesgo para sus derechos y libertades.

Como subcontratista, ZEROSIX informará a sus clientes si dicho evento ocurre dentro de su perímetro de procesamiento, y luego les informará del procedimiento a seguir.

5) Fortalecimiento de la protección de datos en la interfaz de los socios

Como responsable del tratamiento, los clientes de ZEROSIX deben consultar las cláusulas de los contratos de sus proveedores de servicios especificando la naturaleza y duración del tratamiento realizado en su nombre, así como las cláusulas de los contratos que les otorgan un garantía predeterminada del más alto nivel de seguridad y confidencialidad de los datos personales procesados en su nombre.

Para el Delegado de Protección de Datos de ZEROSIX : “La elección de los prestadores de servicios es clave para las empresas en el contexto de su cumplimiento del RGPD, más aún en la gestión de su programa de fidelización, dada la diversidad de tratamientos y cantidad de datos personales tratados. El editor del software del programa de fidelización debe poder garantizar que todos los actores que intervienen en la cadena de procesamiento cumplen con el RGPD ”.