Negocios

Soluciones de control de acceso y GDPR

Aunque el RGPD entró en vigor hace más de un año, probablemente sea justo decir que las empresas, especialmente las pymes, todavía se están familiarizando con lo que significa en la práctica, en particular con respecto a lo que podrían denominarse situaciones de nicho como las soluciones de control de acceso.

Los fundamentos del RGPD y la seguridad

Dado que GDPR se aplica a todos los datos personales recopilados por las organizaciones, es completamente lógico que se aplique a los datos recopilados con fines de seguridad. El desafío para las organizaciones puede ser determinar en qué medida se extienden los requisitos de GDPR y luego asegurarse de que los cumplan.

Por ejemplo, puede parecer bastante obvio que la emisión de dispositivos de control de acceso de forma individual requeriría la recopilación de datos personales y, por lo tanto, estaría cubierta por GDPR.

Control de acceso

Sin embargo, puede ser menos obvio que las personas firmen para los dispositivos de control de acceso también estaría cubierto por GDPR porque requeriría la recopilación de datos personales de una persona y puede que no sea en absoluto obvio que el uso de CCTV en instalaciones comerciales es también cubierto por GDPR ya que CCTV captura imágenes que podrían usarse para identificar a las personas.

Por lo tanto, la primera regla para usar soluciones de control de acceso de manera compatible con GDPR es realizar una evaluación del impacto de la privacidad de todas y cada una de las soluciones de control de acceso que usa actualmente (o planea usar) y ver qué datos individuales, si los hay. capturan.

Procesamiento de datos personales

Verifique que el procesamiento de sus datos sea proporcional a sus necesidades legítimas

La proporcionalidad es fundamental para el RGPD y generalmente se juzga en función de dos factores clave, cuántos datos se capturan y cuánto tiempo se almacenan.

Básicamente, solo debe capturar el mínimo de datos para el propósito previsto y solo almacenarlo durante el período mínimo de tiempo. Si bien esto puede parecer obvio, puede ser sorprendentemente fácil incumplir estas regulaciones por accidente, especialmente en empresas más pequeñas.

En primer lugar, tenga cuidado de no depender únicamente del consentimiento como justificación para el procesamiento de datos. Según el RGPD, para que el consentimiento se considere válido, debe ser informado y otorgado libremente.

Empleados

En un contexto laboral, las empresas pueden verse desafiadas en cuanto a la medida, en su caso, en la que sus empleados realmente podrían encontrarse libres para rechazar el consentimiento para el procesamiento de sus datos.

En segundo lugar, tenga cuidado de no permitir que los datos se acumulen simplemente porque no ha pensado en eliminarlos. Cuando los datos se almacenan en formato digital, a menudo puede configurar políticas para garantizar la eliminación automática una vez que se cumplan ciertos criterios, por ejemplo, podría hacer que las imágenes de CCTV se eliminen automáticamente después de seis meses.

Cuando los datos se almacenan en forma física, deberá asegurarse de que se recopilen y eliminen según corresponda. Por ejemplo, si está utilizando un libro físico para realizar un seguimiento de quién tiene posesión de un dispositivo de control de acceso específico (o cualquier otra cosa), deberá asegurarse de que las páginas se eliminen del libro cuando expire su vida útil.

Mantenga todos los datos seguros pero accesibles

Esto puede parecer una contradicción en términos, pero básicamente solo significa que necesita saber dónde se almacenan todos sus datos , aplicar la protección adecuada (por ejemplo, cifrado en el mundo digital y mantenerlo adecuadamente protegido en el mundo físico) y asegurarse de que todos y cada uno de los elementos de datos que posee su organización estén bajo el control de una persona responsable.

En este contexto, tenga en cuenta que la persona responsable debe tener la capacitación y los recursos adecuados (incluido el tiempo) para hacer lo que sea necesario, por lo que sus tareas de control de datos deben reconocerse como una parte significativa de su trabajo, en lugar de simplemente algo para hacer como, cuando y si tienen tiempo.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba