Todas las empresas tienen que tratar datos personales permitiendo la identificación de personas físicas. El reglamento relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) enmarca el trato de estos datos en el territorio de la Unión europea.
Los datos personales son toda la información sobre una persona física identificada o identificable. Una persona puede ser identificada directamente, por sus nombres y apellidos o indirectamente, por un número de identificación, de teléfono, etc.
Así, la identificación de una persona física puede ser realizada a partir de un solo dato o a partir del cruce de un conjunto de datos, como por ejemplo una mujer viviendo en tal edificio, nacida tal día y militando por tal asociación.
El tratamiento de los datos personales es cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, como por ejemplo, un archivo de clientes o un archivo de trabajadores.
El RGPD obliga hoy todas las empresas a proteger sus datos personales, pero, deja libre el medio de protección. De hecho, la autoridad de control del país donde está domiciliada la empresa, en Francia, la CNIL (Commission nationale de l’informatique et des libertés, Comisión nacional de la informática y de las libertades), verificara cuando haya un control que los datos sean protegidos.
Por consecuencia, hay una inversión en la carga de la prueba: no es la autoridad la que tiene que comprobar que los datos personales no están bien protegidos, sino la empresa que tiene que probar que utilizó los medios adecuados para proteger esos datos.
Cuatro acciones principales son suficientes para la protección de los datos personales:
- Identificar los ficheros :
- Identificar la actividad principal de su empresa que necesita el trato de datos personales (contratación, gestión de las nóminas, formaciones, gestión de los clientes, etc.)
- Crear un fichero de archivo para cada una de las actividades identificadas, en el cual se precisa la finalidad del archivo, las categorías de datos utilizados, quién tiene acceso a estos datos y la duración de la conservación de estos datos.
- Clasificar sus datos: verificar para cada fichero creado :
- Que los datos tratados son necesarios para la actividad (por ejemplo, no es útil saber que los trabajadores están casados o no).
- Que no hay datos sensibles.
- Que solamente las personas habilitadas tienen acceso a los datos que necesitan.
- Que no se conservan los datos más allá de lo necesario.
- Respectar el derecho de las personas.
- Proteger los datos personales.
¿Te ha gustado este artículo?
SUSCRÍBETE A NUESTRA NUEVA NEWSLETTER
Hemos creado para ti una selección de contenidos para que los recibas cómodamente en tu correo electrónico. Descubre nuestro nuevo servicio.