Protección de datos en acción

Tiempo de lectura: 8 minutos

Noticias & blog Blog Protección de datos en acción

Protección de datos en acción

Pascal Dijkens, Risk & Compliance Director

Pascal Dijkens

Risk & Compliance Director, Van Ameyde

Tiempo de lectura:8 minutos
Un proyecto integral de dos años ha garantizado la conformidad de Van Ameyde con los estándares de Gestión de Seguridad de la Información ISO y con el Reglamento General de Protección de Datos (GDPR). El procesamiento de datos confidenciales a gran escala en nombre de las aseguradoras y gerentes de riesgos corporativos, significa que Van Ameyde es un denominado 'procesador' bajo GDPR. Pero, ¿tiene la industria plena conciencia de sus propias obligaciones relacionadas con su red de proveedores?

El 25 de mayo de 2018 entra en vigor el Reglamento general de protección de datos (GDPR), en sustitución de la Directiva de la UE 95/46/CE. Ser un Reglamento, en lugar de una Directiva, significa que el GDPR es directamente efectivo. Esto beneficia a las organizaciones que operan en múltiples estados miembros, como Van Ameyde y muchos de nuestros clientes. Después de todo, en comparación con las Directivas, que se transponen a la legislación nacional, las regulaciones ofrecen muchas menos posibilidades para las desviaciones locales.

A pesar de este beneficio, la implementación del GDPR ha demostrado ser un proceso lento para nosotros, en Van Ameyde. Comenzamos nuestro programa de implementación integral hace más de dos años, tras una extensa auditoría en toda la organización.

Sin pretender facilitar una lista exhaustiva, me gustaría ofrecer una idea de varios aspectos del nuevo Reglamento desde el punto de vista de un procesador.

Seguridad y gobierno de datos

Después de la auditoría, iniciamos una serie de actualizaciones en nuestras soluciones de seguridad y administración de datos a principios de 2016. Por razones de seguridad, no podemos detallar las medidas adoptadas. No obstante, en términos generales, nuestras medidas de seguridad y control de datos incluyen:

  • encriptación de datos personales
  • medidas de seguridad de referencia relacionadas con la infraestructura y el acceso, incluida la autentificación de dos niveles y estrictas políticas de contraseñas
  • supervisión e informes de violación de datos
  • políticas de clasificación de datos, que limitan aún más el acceso a información altamente confidencial, como datos médicos (a los que solo puede acceder el personal con una autorización de seguridad adicional) y datos relacionados con investigaciones de fraude.

En el proceso de introducción de medidas, nuestra empresa de desarrollo de TI (Zero)70 ha recibido la certificación ISO 27001:2013, además de nuestra acreditación ISAE3402 tipo II anual ya existente. Nuestros clientes pueden estar seguros de que nuestros protocolos y prácticas de administración de datos y seguridad de datos cumplen totalmente con el GDPR. Cumplimos estrictamente con los principios del GDPR, como la legalidad, imparcialidad, transparencia y la limitación de fines. Además, minimizamos la recolección y el procesamiento de datos respecto a lo estrictamente relevante para la gestión de reclamaciones y hemos adoptado medidas para cumplir con los derechos de los interesados.

Basta decir que, como parte del proceso de cumplimiento del GDPR, Van Ameyde ha llevado a cabo una Evaluación de impacto de protección de datos (DPIA) para identificar los altos riesgos para los derechos de privacidad. Se han formulado medidas para abordar dichos riesgos.

Controladores y procesadores

Los controladores son partes que ‘poseen’ los datos de sus clientes. Cuando subcontratar actividades implica el procesamiento de datos personales, los controladores se enfrentan a dos desafíos:

  • Cumplir con la fecha límite del GDPR para sus propios sistemas y prácticas de gestión de datos
  • Asegurar que sus redes de proveedores, es decir, los ‘Procesadores’, también cumplan con las normas, por medio de Acuerdos de Procesado de Datos

Bajo el nuevo Reglamento, los Procesadores también son responsables, con obligaciones como:

  • la designación de un Oficial de Protección de Datos (DPO)
  • mantener registros de los datos procesados en nombre de sus clientes

De hecho, dado que Van Ameyde opera en toda Europa, hemos designado y formado DPO en todos los países donde Van Ameyde tiene oficinas.

Acuerdo de procesado de datos: obligatorio

Bajo el GDPR, los controladores están obligados a concertar Acuerdos de procesado de datos (APD) con sus procesadores. Estamos abordando este problema notificando a los clientes y facilitándoles una plantilla APD. Si necesita una plantilla APD pero no la ha recibido, por favor contáctenos y le enviaremos una.

Derechos de los interesados

Bajo el GDPR, los interesados son las personas cuyos datos personales se procesan. En términos de gestión de reclamaciones, los interesados pueden ser titulares de pólizas, terceros y, por ejemplo, testigos. En la primera notificación, a los solicitantes se les informa explícitamente de sus derechos. Estos incluyen el derecho a:

  • acceder
  • rectificar
  • borrar (el ‘Derecho a ser olvidado’)
  • restricción de procesamiento
  • portabilidad de datos (el derecho de las personas a que sus datos personales sean transferidos a otras organizaciones)

Sin embargo, debe tenerse en cuenta que los cambios solo se procesan después de una verificación exhaustiva de su legitimidad y relevancia. Además, en el contexto de la gestión de reclamaciones, el derecho a ser olvidado es limitado. Basta decir que las partes responsables no pueden solicitar la eliminación o modificación de sus datos para evitar su recuperación…

Enlaces útiles

Si desea obtener más información sobre los artículos del GDPR, este sitio web es de gran ayuda: https://gdpr-info.eu/

Los diez mejores GDPR de Deloitte también resultan altamente informativos.

Quote
Afhankelijk van de levensverwachting van het slachtoffer zal het verlaagde discontopercentage leiden tot aanzienlijke verhoging van de vergoeding voor toekomstschade.

Pascal Dijkens

Frank Casellas

Share This