Búsqueda Inicio Todas las Peticiones Como Funciona
Iniciar una Petición Publica
Cumplimiento
Cumplimiento

Introducción

El Reglamento General de Protección de Datos de la UE (“GDPR”) entró en vigor en toda la Unión Europea el 25 de mayo de 2018 y trajo consigo los cambios más significativos en la ley de protección de datos en dos décadas. Basado en la privacidad por diseño y con un enfoque basado en el riesgo, el RGPD ha sido diseñado para cumplir con los requisitos de la era digital.

El siglo XXI trae consigo un uso más amplio de la tecnología, nuevas definiciones de lo que constituyen los datos personales y un gran aumento en el procesamiento transfronterizo. El nuevo Reglamento tiene como objetivo estandarizar las leyes y el procesamiento de datos en toda la UE; otorgando a las personas derechos más fuertes y consistentes para acceder y controlar su información personal.

Nuestro compromiso

Law Business Research (“LBR” o “nosotros” o “nuestro”) se compromete a garantizar la seguridad y protección de la información personal que procesamos, y a proporcionar un enfoque coherente y compatible con la protección de datos. Siempre hemos tenido un programa de protección de datos sólido y efectivo que cumple con la ley existente y respeta los principios de protección de datos. Sin embargo, hemos actualizado y ampliado este programa para cumplir con las exigencias del RGPD y la Ley de protección de datos del Reino Unido.

LBR se dedica a salvaguardar la información personal bajo nuestro mandato y a desarrollar un régimen de protección de datos que sea efectivo, adecuado para su propósito y demuestre una comprensión y apreciación del nuevo Reglamento. Nuestra preparación y objetivos para el cumplimiento del RGPD se resumen en esta declaración e incluyen el desarrollo y la implementación de nuevas funciones, políticas, procedimientos, controles y medidas de protección de datos para garantizar el cumplimiento máximo y continuo.

Cómo nos estamos preparando para el RGPD

LBR tiene un nivel constante de protección y seguridad de datos en toda nuestra organización y cumple totalmente con la regulación GDPR. Esto incluye: –

• Auditoría de la información: llevar a cabo una auditoría de la información en toda la empresa para identificar y evaluar qué información personal tenemos, de dónde proviene, cómo y por qué se procesa y si se revela ya quién.

• Políticas y procedimientos: revisión de las políticas y procedimientos de protección de datos para cumplir con los requisitos y estándares del RGPD y cualquier ley de protección de datos relevante, que incluye: –

• Protección de datos: nuestro principal documento de política y procedimiento para la protección de datos cumple con los estándares y requisitos del RGPD. existen medidas de rendición de cuentas y gobernanza para garantizar que comprendamos y difundamos y evidenciemos adecuadamente nuestras obligaciones y responsabilidades; con un enfoque dedicado a la privacidad por diseño y los derechos de las personas.

• Retención y borrado de datos: nuestra política y programa de retención garantizan que cumplimos con los principios de “minimización de datos” y “limitación de almacenamiento” y que la información personal se almacena, archiva y destruye de manera ética y conforme a las normas. Contamos con procedimientos de borrado dedicados para cumplir con la nueva obligación de ‘Derecho de borrado’ y somos conscientes de cuándo se aplican este y otros derechos de los interesados; junto con las exenciones, plazos de respuesta y responsabilidades de notificación.

• Violaciones de datos: nuestros procedimientos de violación garantizan que contamos con salvaguardas y medidas para identificar, evaluar, investigar e informar cualquier violación de datos personales lo antes posible. Nuestros procedimientos son robustos y han sido difundidos a todos los empleados, haciéndoles conocer las líneas de reporte y los pasos a seguir.

• Transferencias internacionales de datos y divulgaciones de terceros: cuando LBR almacena o transfiere información personal fuera de la UE, contamos con sólidos procedimientos y medidas de protección para asegurar, cifrar y mantener la integridad de los datos. Nuestros procedimientos incluyen una revisión continua de los países con suficientes decisiones de adecuación, así como disposiciones para normas corporativas vinculantes; cláusulas estándar de protección de datos o códigos de conducta aprobados para aquellos países que no los tienen. Llevamos a cabo estrictos controles de diligencia debida con todos los destinatarios de datos personales para evaluar y verificar que cuentan con las medidas de seguridad adecuadas para proteger la información, garantizar los derechos exigibles de los interesados ​​y tener recursos legales efectivos para los interesados ​​cuando corresponda.

• Solicitud de acceso al sujeto (SAR): nuestros procedimientos SAR se adaptan al plazo de 30 días para proporcionar la información solicitada y para hacer esta provisión sin cargo. Nuestros procedimientos detallan cómo verificar al interesado, qué pasos tomar para procesar una solicitud de acceso, qué exenciones se aplican y un conjunto de plantillas de respuesta para garantizar que las comunicaciones con los interesados ​​sean compatibles, coherentes y adecuadas.

• Base legal para el procesamiento: estamos revisando todas las actividades de procesamiento para identificar la base legal para el procesamiento y garantizar que cada base sea apropiada para la actividad a la que se relaciona. Cuando corresponda, también mantenemos registros de nuestras actividades de procesamiento, asegurándonos de que se cumplan nuestras obligaciones en virtud del Artículo 30 del RGPD y el Anexo 1 de la Ley de Protección de Datos.

• Aviso/política de privacidad: nuestro(s) Aviso(s) de privacidad cumplen con el RGPD, lo que garantiza que todas las personas cuya información personal procesamos hayan sido informadas de por qué la necesitamos, cómo se usa, cuáles son sus derechos, a quién se divulga la información y qué medidas de salvaguardia existen para proteger su información.

• Mercadeo directo: la redacción y los procesos para el mercadeo directo incluyen un aviso claro y un método para darse de baja y proporcionar características de cancelación de suscripción en todos los materiales de mercadeo posteriores.

• Evaluaciones de impacto de la protección de datos (DPIA): cuando procesamos información personal que se considera de alto riesgo, implica un procesamiento a gran escala o incluye datos de categorías especiales/convicciones penales; contamos con estrictos procedimientos y plantillas de evaluación para llevar a cabo evaluaciones de impacto que cumplen totalmente con los requisitos del artículo 35 del RGPD. Hemos implementado procesos de documentación que registran cada evaluación, nos permiten calificar el riesgo que representa la actividad de procesamiento e implementar medidas de mitigación para reducir el riesgo que representa para los interesados.

• Acuerdos de procesador: cuando utilizamos un tercero para procesar información personal en nuestro nombre (es decir, nómina, contratación, hospedaje, etc.), tenemos acuerdos de procesador compatibles y procedimientos de diligencia debida para garantizar que ellos (así como nosotros) cumplan y comprender sus/nuestras obligaciones del RGPD. Estas medidas incluyen revisiones iniciales y continuas del servicio prestado, la necesidad de la actividad de procesamiento, las medidas técnicas y organizativas implementadas y el cumplimiento del RGPD.

• Datos de categorías especiales: cuando obtenemos y procesamos cualquier información de categoría especial, lo hacemos en pleno cumplimiento de los requisitos del Artículo 9 y tenemos encriptaciones y protecciones de alto nivel en todos esos datos. Los datos de categoría especial solo se procesan cuando es necesario y solo se procesan cuando primero hemos identificado la base apropiada del Artículo 9 (2) o la condición del Anexo 1 de la Ley de Protección de Datos. Cuando nos basamos en el consentimiento para el procesamiento, este es explícito y se verifica mediante una firma, estando claramente señalizado el derecho a modificar o eliminar el consentimiento.

Derechos de los interesados

Además de las políticas y procedimientos mencionados anteriormente que garantizan que las personas puedan hacer valer sus derechos de protección de datos, proporcionamos información de fácil acceso a través de nuestro sitio web, en la oficina, durante la inducción, etc., sobre el derecho de una persona a acceder a cualquier información personal que LBR procese sobre ella. y solicitar información sobre: ​​–

• Qué datos personales tenemos sobre ellos
• Los propósitos del procesamiento
• Las categorías de datos personales en cuestión
• Los destinatarios a quienes se han revelado/serán revelados los datos personales • Durante
cuánto tiempo pretendemos almacenar sus datos personales
• Si no lo hicimos recopilar los datos directamente de ellos, información sobre la fuente
• El derecho a que se corrijan o completen los datos incompletos o inexactos sobre ellos y el proceso para solicitar esto
• El derecho a solicitar el borrado de datos personales (cuando corresponda) o restringir el procesamiento de acuerdo con con las leyes de protección de datos, así como objetar cualquier marketing directo de nuestra parte y ser informado sobre cualquier toma de decisiones automatizada que utilicemos
• El derecho a presentar una queja o buscar un recurso judicial y a quién contactar en tales casos

Seguridad de la información y medidas técnicas y organizativas

LBR se toma muy en serio la privacidad y la seguridad de las personas y su información personal y toma todas las medidas y precauciones razonables para proteger y asegurar los datos personales que procesamos. Contamos con sólidas políticas y procedimientos de seguridad de la información para proteger la información personal del acceso, la alteración, la divulgación o la destrucción no autorizados y contamos con varios niveles de medidas de seguridad, que incluyen: –

• Cifrado con certificados de autoridades de certificación confiables
• Seguridad por diseño
• Firewalls perimetrales e internos para segregar roles
• Segregación de conjuntos de datos
• Controles de acceso físico y digital
• Una política de frase de contraseña compleja
• Copias de seguridad externas
• Ciclo de parches e informes
regulares • Pruebas regulares de penetración y vulnerabilidad por especialistas externos

Funciones y empleados del RGPD

LBR tiene un Oficial de Protección de Datos (DPO) designado para desarrollar e implementar nuestra hoja de ruta para cumplir con el nuevo Reglamento de protección de datos. El DPO es responsable de promover el conocimiento del RGPD en toda la organización, evaluar nuestra preparación para el RGPD, identificar cualquier área de brecha e implementar las nuevas políticas, procedimientos y medidas.

LBR entiende que la conciencia y la comprensión continuas de los empleados son vitales para el cumplimiento continuo del RGPD y ha involucrado a nuestros empleados en nuestros planes de preparación. Contamos con un programa de capacitación en GDPR para empleados que se brindó a todos los empleados antes del 25 de mayo de 2018 y forma parte de nuestro programa de capacitación anual y de inducción.

Si tiene alguna pregunta sobre nuestra preparación para el RGPD, comuníquese con el Oficial de Protección de Datos (DPO) –  dataprotectionteam@lbresearch.com .