COVID-19:Tres consejos de protección de datos para la UE y el Reino Unido
A medida que las empresas se adaptan a la pandemia de COVID-19, los desafíos de administrar una fuerza de trabajo remota y su deseo de obtener información sobre el impacto del virus tienen importantes implicaciones en la protección de datos. Si bien la orientación de la Junta Europea de Protección de Datos ("EDPB") confirma que el GDPR no debe obstaculizar la lucha contra la pandemia, incluso en estos tiempos excepcionales, las empresas deben seguir salvaguardando los derechos de protección de datos de las personas.
Compartimos aquí nuestros tres consejos principales para quienes supervisan el cumplimiento de la protección de datos:basándose en las orientaciones del EDPB, REINO UNIDO, Francés, Autoridades de supervisión alemanas e irlandesas. Los enlaces a la orientación de otras autoridades están disponibles aquí.
Identificar y abordar nuevos desafíos de seguridad de datos . Con muchos empleados ahora trabajando de forma remota, Los problemas de seguridad de los datos deben abordarse como el requisito de mantener las medidas técnicas y organizativas adecuadas para salvaguardar los datos personales ( Artículos 5 (1) (f) y 32 del RGPD ) se aplica por igual dentro y fuera de la oficina. La guía de COVID-19 de la Oficina del Comisionado de Información del Reino Unido (la "ICO") pide a las empresas que " Considere los mismos tipos de medidas de seguridad para el trabajo a domicilio que usaría en circunstancias normales. ”.
Por lo tanto, es posible que las empresas quieran recordar a los empleados la necesidad de:
- evitar el acceso no autorizado a los datos personales por parte de los miembros de la familia, compañeros de casa o cualquier otra persona en el hogar compartiendo, práctico, estrategias de fácil implementación, como guardar los papeles de trabajo al final de cada día fuera de la vista;
- adhiérase a las reglas de seguridad de datos preexistentes mientras esté fuera de la oficina. Por ejemplo, los empleados no deben usar cuentas de correo electrónico personales para el trabajo, incluso si las herramientas de acceso remoto están bajo presión; y
- permanezca atento a los piratas informáticos que intentan explotar la crisis a través de correos electrónicos de phishing y otros ataques, discutido con más detalle en nuestra lista de verificación de seguridad cibernética COVID-19.
Recoger, Comparta y retenga la menor cantidad de información necesaria . Se debe considerar cuidadosamente la recopilación y el intercambio de datos relacionados con COVID-19. Si bien la guía de la ICO establece que las empresas pueden mantener legalmente informado al personal sobre los casos de COVID-19 dentro de la organización, recuerda a las empresas que deben compartir información solo cuando sea realmente necesario.
La ICO sugiere que nombrar a las personas afectadas es innecesario en la mayoría de los contextos y debe evitarse. Orientación de la Conferencia alemana de protección de datos (Datenschutzkonferenz), un grupo de reguladores de protección de datos federales y estatales, apoya este enfoque, declarando que la identidad de una persona infectada debe mantenerse confidencial a menos que no haya otra forma de tomar precauciones para proteger a los demás. Si nombrar a una persona resulta inevitable, las empresas deben documentar el motivo y seguir las pautas de la EDPB para informar a la persona antes de que se divulgue su nombre.
Las empresas también deben ser prudentes al recopilar información relacionada con COVID-19. Aunque pocas organizaciones recibirán visitantes físicos por el momento, aquellos que lo sean deben pedirles que proporcionen solo la información verdaderamente necesaria para proteger a la fuerza laboral de la empresa. Lo mismo se aplica a los empleados. La guía de la ICO sugiere que es razonable preguntar a las personas si han visitado países específicos afectados por el virus o si están experimentando síntomas relacionados con COVID-19. Similar, orientación de la autoridad supervisora francesa, la CNIL, sugiere que los empleadores pueden invitar a empleados individuales a compartir información sobre su propia situación médica o exposición potencial al virus, pero indica a las empresas que no implementen cuestionarios médicos generales ni introduzcan controles de temperatura obligatorios.
Relacionadamente, La guía COVID-19 de la Comisión de Protección de Datos de Irlanda recuerda a las empresas que cumplan con sus obligaciones de transparencia al recopilar datos relacionados con COVID-19, incluida la comunicación clara del propósito para el que se recopilan los datos y durante cuánto tiempo se conservarán. Es más, todos los datos recopilados deben protegerse y eliminarse de manera adecuada; la guía alemana recuerda a las empresas que los datos recopilados para ayudar a gestionar esta crisis no pueden utilizarse para otros fines no relacionados y deben eliminarse tan pronto como ya no sean necesarios.
Mantener registros detallados de las decisiones y el impacto del procesamiento de datos relacionados con COVID-19 . De acuerdo con el principio de responsabilidad del RGPD y los requisitos de mantenimiento de registros ( Artículos 5 (2) y 30 ), las empresas deben registrar el proceso de toma de decisiones subyacente a las medidas de datos personales relacionados con COVID-19 y los pasos que se toman para garantizar el cumplimiento de la protección de datos. Esto incluye registrar la base legal para procesar los datos; típicamente, ya sea por necesidad por “razones de interés público en el área de la salud pública” ( Artículo 9, apartado 2, letra i) ) o la necesidad de cumplir con "obligaciones en el campo del empleo" donde las leyes locales exigen que las empresas protejan a sus empleados ( Artículo 9, apartado 2, letra b) ).
Parece probable que a muchas empresas les resulte difícil cumplir con sus obligaciones de protección de datos, por ejemplo, responder a las solicitudes de acceso de los interesados y otros derechos, debido a problemas de personal o tecnológicos causados por la pandemia. La guía de la ICO dice que no castigará a las organizaciones que "necesitan priorizar otras áreas o adaptar su enfoque durante este período extraordinario". Considerando la posibilidad de que otras autoridades supervisoras sean menos indulgentes, una mejor práctica sería registrar cuidadosamente las razones de cualquier retraso o incumplimiento, y al mismo tiempo para recopilar y mantener pruebas de apoyo.
-
Trabajo remoto:los ganadores y perdedores de Covid-19
Ganadores y perdedores del trabajo remoto En una conversación sobre la valla del jardín esta mañana, mi vecina me habló de su viaje a Londres esta semana; el primero desde que se inició el confinamie
-
5 consejos de CRM para una gestión de datos eficaz
Prácticas recomendadas para la gestión de datos de CRM Incluso cuando implementa un software de gestión de relaciones con los clientes para ayudarlo a segmentar todos sus datos y alinear sus equipos,
Fondos de inversión privados
- Hacia la distancia social:acciones de verano para 2020 y COVID-19
- Cómo determinamos las mejores y las peores ciudades para su jubilación
- Tres consejos para encontrar un abogado especializado en bancarrotas del capítulo 7
- ¿Es un ETF de TIPS la inversión adecuada para usted?
- Consejos de jubilación para autónomos
- Tres consejos para ahorrar dinero en útiles escolares
- 3 consejos de presupuestación para los que se sienten cómodos y ricos
- Consejos para el negociador introvertido
- 5 consejos para ahorrar para la universidad y la jubilación
-
Consejos fiscales para niños y recién nacidos Mi esposa y yo tuvimos nuestro primer hijo este verano. Nuestras vidas son muy diferentes ahora ¡Pero Emma ha sido una bendición para nosotros y no cambiaría nada! Tener un bebé ha cambiado nuestro ...
-
Las implicaciones del RGPD para las pequeñas empresas La nueva legislación de protección de datos de la UE se implementará el próximo año, pero existe mucha incertidumbre sobre cómo afectará esto a las empresas. El CEO de Really Simple Systems, John Pate...