Introducción

La Unión Europea (UE) logró un avance importante en la protección del derecho fundamental a la privacidad de todos los residentes de la UE con el GDPR, el cual entrará en vigencia a partir del 25 de mayo de 2018. Sencillamente, los residentes de la UE ahora tendrán más poder de decisión sobre qué, cómo, por qué, dónde y cuándo se utilizan, procesan o eliminan sus datos. Esta regla aclara cómo las leyes de datos personales de la UE se aplican incluso más allá de las fronteras de la UE. Cualquier organización que trabaje con datos personales de los residentes de la UE en cualquier forma, independientemente de su ubicación, tiene la obligación de proteger los datos. Zoho conoce plenamente su función en la prestación de herramientas y procesos que brinden soporte a sus usuarios y clientes para que cumplan con las exigencias del GDPR.

El compromiso de Zoho

En Zoho, siempre concedimos a nuestros usuarios el derecho a la privacidad y protección de los datos. Nunca confiamos en la publicidad como una fuente de ingresos. Nunca dirigimos anuncios a nuestros usuarios y nunca lo haremos. No dirigimos anuncios, siquiera a los clientes que utilizan la versión gratuita de nuestros productos. Esto significa que no tenemos ninguna necesidad de recopilar y procesar la información personal de los usuarios más allá de lo que se requiere para el funcionamiento de nuestros productos.

A lo largo de los años, demostramos nuestro compromiso con la privacidad y la protección de los datos mediante el cumplimiento de los estándares del sector para la norma ISO 27001 y la certificación SOC 2 tipo II. Ya contamos con sólidos Acuerdos de procesamiento de datos, y estamos revisándolos para cumplir con los requisitos del GDPR. Zoho Corporation participa en el marco de protección de privacidad entre la UE y los EE. UU., y certificó su cumplimiento en lo que respecta a la transferencia de datos a los EE. UU. Reconocemos que el GDPR nos ayudará a avanzar hacia los más altos estándares de las operaciones de protección de datos de los clientes.

¿Cómo se prepara Zoho para el GDPR?

Con más de 130 aplicaciones en las instalaciones y en la nube, utilizadas por más de 30 millones de usuarios en 190 países, Zoho (junto con sus divisiones empresariales ManageEngine y WebNMS) se está preparando para cumplir con los requisitos del GDPR en todas sus aplicaciones cuando el reglamento entre en vigencia. Como procesador de datos, Zoho entiende su obligación de ayudar a los clientes a prepararse para el día señalado. Analizamos en detalle los requisitos del GDPR y pusimos en marcha un equipo interno dedicado a impulsar a nuestra organización a cumplirlos. Algunas de nuestras iniciativas en curso son las siguientes:

  • Identificación de datos personales: Cada una de nuestras 130 diferentes aplicaciones asume un nivel diferente de recopilación, uso, almacenamiento y eliminación de datos personales. Definir el alcance de los datos personales para cada una de estas aplicaciones y documentar las distintas fuentes de datos servirá como guía para el cumplimiento en los días previos a la implementación.
  • Proporcionar visibilidad y transparencia: el aspecto más importante del GDPR es cómo se utilizan los datos recopilados. Como procesador de datos, la función clave de Zoho es proporcionar a nuestros clientes (los controladores de datos) acceso para gestionar y proteger sus datos de usuario. Zoho está explorando maneras de hacer mejoras de producto óptimas sin comprometer el rendimiento, con el fin de que podamos ofrecer a nuestros clientes una mayor transparencia.
  • Mejorar la integridad de los datos y la seguridad: la privacidad y la seguridad de los datos son dos caras de la misma moneda. Mientras nuestros clientes refuerzan sus medidas de seguridad de la información, Zoho quiere extender una mano para ayudarlos. Estamos optimizando los procesos de nuestras aplicaciones en la nube implementando políticas y procedimientos de TI que proporcionan seguridad integral.
  • Portabilidad y capacidad de transferencia de datos: el GDPR proporciona a los usuarios finales el derecho a recibir todos los datos proporcionados y procesados por el controlador o transferirlos a otro controlador, según la viabilidad técnica. Zoho consideró este nuevo derecho y está trabajando para mejorar aún más sus capacidades de exportación de datos para que sea posible exportar incluso a nivel individual.

¿Qué significa esto para nuestros clientes?

Entendemos que cumplir con los requisitos del GDPR llevará mucho tiempo y esfuerzo. Y como su socio, queremos ayudarlo a hacer el proceso lo más fácil posible, para que no tenga que preocuparse por el cumplimiento y pueda centrarse más en su empresa. Algunas de las mejoras de nuestros productos pronto harán que sea más fácil lograr lo siguiente:

  • Proporcionar controles de acceso
  • Cifrar, anonimizar o eliminar datos de usuario
  • Realizar auditorías o evaluaciones de datos utilizando los registros de procesamiento de datos
  • Crear disposiciones para los derechos de los interesados
  • Mejorar la seguridad de los datos de usuario

¿Qué debe hacer para estar preparado para el GDPR?

Si recién está comenzando con el cumplimiento del GDPR en su organización, le presentamos una breve lista de tareas para tener en cuenta.

  • Cree un equipo de privacidad de datos para supervisar las actividades del GDPR y fomentar el conocimiento
  • Revise sus procesos actuales de seguridad y privacidad, y de ser necesario, revise sus contratos con terceros y clientes para comprobar que cumplan con los requisitos del GDPR
  • Identifique la información de identificación personal (PII) o los datos personales que se recopilan
  • Analice cómo se procesa, almacena, conserva y elimina esta información
  • Evalúe los terceros a los que revela los datos
  • Establezca procedimientos para responder a los interesados cuando ejercen sus derechos
  • Establezca y realice la evaluación de impacto en la privacidad (PIA)
  • Cree procesos para las actividades de notificación de filtración de datos
  • Fomentar continuamente el conocimiento de los empleados es vital para asegurar el cumplimiento continuo del GDPR

Para obtener más información sobre el GDPR en las aplicaciones de Zoho/ManageEngine/WebNMS:

Contáctenos

Obtenga más información sobre el GDPR

¿Qué es el GDPR?

  • El Reglamento General de Protección de Datos (GDPR) es un cambio radical en lo que respecta a leyes de protección de datos y privacidad. En la UE se llegó a la conclusión de que si bien la tecnología evolucionó drásticamente en las últimas décadas, las leyes de privacidad no lo hicieron. En 2016, los organismos reguladores de la UE decidieron actualizar la actual Directiva de Protección de Datos para adaptarse a los tiempos cambiantes. Esta ley crea una lista completa de las normas que rigen el procesamiento de los datos personales de los residentes de la UE.

¿A quiénes se aplica?

  • El GDPR se aplica a cualquier organización que trabaja con los datos personales de los residentes de la UE. Esta ley presenta nuevas obligaciones para los procesadores de datos, a la vez que establece claramente la responsabilidad de los controladores de datos.

¿Dónde se aplica el GDPR?

  • Esta ley no tiene límites territoriales. No importa de dónde sea su organización, si procesa los datos personales de los sujetos de la UE, deberá cumplir con esta ley.

¿Cuáles son las sanciones por incumplimiento?

  • Un incumplimiento del GDPR tiene como consecuencia una multa de hasta el 4 % de la facturación global anual o 20 millones de euros (el que sea mayor).

¿Quiénes son los principales interesados?

  • Sujeto de datos: una persona física que reside en la UE y es el sujeto de los datos
  • Controlador de datos: determina el propósito y los medios para procesar los datos
  • Procesador de datos: procesa los datos según las instrucciones del controlador
  • Autoridades de supervisión: autoridades públicas que supervisan la aplicación del reglamento

¿Qué son los datos personales o la información de identificación personal (PII)?

  • Cualquier información relacionada con una persona física identificada o identificable. Los identificadores se clasifican en dos tipos: directos (p. ej., nombre, correo electrónico, número de teléfono, etc.) e indirectos (p. ej., fecha de nacimiento, sexo, etc.).

¿Cuáles son los principales cambios de las normas anteriores?

  • Derechos nuevos y mejorados para los interesados: esta ley otorga a las personas el derecho de ejercer una autoridad total sobre sus datos personales. Algunos de los derechos destacados en la regulación son los siguientes:
    • Consentimiento explícito: los interesados recibir información sobre cómo se procesarán sus datos personales. Las organizaciones deben hacer que sea tan fácil​retirar su consentimiento como lo es otorgarlo para los interesados.
    • Derecho de acceso: en cualquier momento, el interesado puede preguntar al controlador qué datos personales sobre él se almacenan o conservan.
    • Derecho a ser olvidado: el sujeto de los datos puede solicitar al controlador que elimine su información personal de los sistemas del controlador.
    • Portabilidad de los datos: el controlador debe poder proporcionar a los sujetos de datos una copia de sus datos personales en formato legible por máquina. Si es posible, deben poder transferir los datos a otro controlador.
  • Obligaciones de los procesadores: el GDPR también aumentó la responsabilidad de los procesadores de datos. Los procesadores deben poder demostrar el cumplimiento con el GDPR y deben seguir las instrucciones del controlador de datos.
  • Oficial de protección de datos: es posible que las organizaciones necesiten designar a un miembro del personal o proveedor de servicios externos que sea responsable de supervisar el GDPR, el cumplimiento general de la gestión de privacidad y las prácticas de protección de datos.
  • Evaluaciones de impacto de privacidad (PIA): las organizaciones deben realizar evaluaciones de impacto sobre la privacidad de su procesamiento de datos a gran escala para minimizar los riesgos e identificar medidas para mitigarlos.
  • Notificación de incumplimiento: los controladores deben notificar a las partes interesadas (la autoridad de control y, cuando corresponda, los interesados) dentro de las 72 horas de haber tenido conocimiento de una infracción.

Según el GDPR, ¿es obligatorio que los datos personales de la UE permanezcan en la UE?

  • No, el GDPR no exige que los datos personales de la UE permanezcan en la UE, ni impone ninguna nueva restricción a las transferencias de datos personales fuera de la UE. Nuestro apéndice de procesamiento de datos, que hace referencia a las cláusulas modelo de la Comisión Europea, continuará ayudando a nuestros clientes a facilitar las transferencias de datos personales de la UE fuera de la UE.

Recursos