Com afecta el RGPD a les Empreses de transport i logística?

Com afecta el RGPD a les Empreses de transport i logística?
29Juny
Com afecta el RGPD a les Empreses de transport i logística?

Les empreses de transport i logística han de mirar detalladament quines mesures tècniques i administratives han d'incorporar per complir el RGPD, ja que són molts els empleats que estaran en contacte amb la informació personal que maneja l'empresa i han de conèixer molt bé les seves funcions i responsabilitats .


Normativa de Protecció de Dades


Les normes que regulen la Protecció de Dades són:


• RGPD (vigent a partir del 25 de maig a tot Europa)
• LOPD (Espanya)
• Nova LOPD (pendent d'aprovar encara a Espanya)


Com han de complir les empreses de transport el RGPD?


Les empreses de transports manegen una gran quantitat de dades de clients, empleats i proveïdors, de manera que també s'hauran d'adaptar a la nova normativa. Per assegurar un degut compliment d'aquesta, cal tenir en compte una sèrie de preguntes i qüestions que facilitaran la tasca.
Cada vegada que un client deixa les seves dades per a l'adquisició d'un bitllet o el lliurament d'un paquet, contracten amb els professionals i empreses externes serveis de manteniment, o cedeixen les dades dels seus empleats per a elaborar les nòmines, estan manejant dades de caràcter personal de tercers. Per al correcte maneig d'aquestes dades cal complir amb la normativa de protecció de dades.

Les principals actuacions que ha de realitzar una empresa de transports per adaptar-se al RGPD són:


• Realitzar un registre d'activitats de tractament
• Signar els contractes amb tercers
• Signar els contractes amb els empleats
• Incloure els textos legals a la pàgina web
• Sol·licitar el consentiment als clients
• Realitzar una Anàlisi de riscos
• Notificar les bretxes de seguretat

A continuació t'explico detalladament cadascuna d'aquestes actuacions:


1. Registre d'activitats de tractament


El RGPD substitueix l'obligació d'inscriure fitxers a l'AEPD per la necessitat de portar un registre intern a l'empresa del tipus de tractaments que es realitzen. Aquest és el registre d'activitats de tractament.
El primer que s'ha de tenir en compte és quin tipus de dades es manegen i quina quantitat. En aquest registre ha d'incloure la següent informació:
• Tipus de dades emmagatzemades
• Finalitat
• Legitimats
• Política d'emmagatzematge d'aquestes dades
• Si es realitzen cessions o transferències internacionals
• Mitjans a través dels quals es realitza el tractament
Aquest registre d'activitats de tractament s'ha de mantenir sempre actualitzat.
Els tractaments més habituals en les empreses de logística són:
• Clients
• Proveïdors
• Comptabilitat
• Recursos Humans
• Currículum
• Videovigilància

2. Contractes amb tercers


Les empreses de transport es relacionen constantment amb tercers, com assessories o empreses informàtiques, que també disposen de algunes de les dades dels usuaris. Així que, a més de tenir un registre d'activitats de tractament, han de disposar d'una llista d'aquestes empreses externes amb les que es té contacte i assegurar que també compleixin la normativa obligatòria. I cal dir que cal estar segurs que el client sàpiga què dades seves es recopilen a través d'aquestes pàgines.
Per a això cal signar un contracte d'encàrrec de tractament amb aquests tercers en què s'estableixin les obligacions d'aquests per protegir les dades personals a les quals accedeixin.

3. Consentiment de clients


A més d'actualitzar la política de privacitat, l'empresa de transport ha de tenir el consentiment exprés de tots els seus clients per poder tractar les seves dades. Aquest consentiment pot sol·licitar-se de dues formes:
• Si el client introdueix les seves dades personals a la pàgina web, hi ha d'haver una casella desmarcada per defecte que li permeti acceptar aquesta política de privacitat.
• En cas que el client faciliti les seves dades personalment a la immobiliària, ha de signar un document en el qual se li informe del responsable del tractament, la finalitat per a la qual es van a usar les dades, si es cediran a tercers i el mitjà pel que pot exercir els seus drets ARCO.
Un dels fins principals de l'RGPD és que els clients siguin molt més conscients de quina informació disposen les empreses d'ells i per a què s'utilitza. Per això, és essencial que se'ls comuniqui qualsevol canvi que es vagi a realitzar. Una bona opció seria enviar e-mails als clients i empleats o publicar alguna entrada a la pàgina web i difondre-posteriorment per xarxes socials, per generar més confiança.
Així mateix, d'acord amb el principi de Responsabilitat Proactiva que regeix en la nova normativa, el responsable del tractament haurà de poder acreditar l'obtenció del consentiment d'acord amb els requisits expressats anteriorment.

4. Pàgina web


Si operes en línia, has d'incloure a la pàgina web els textos exigits per la llei de protecció de dades i la LSSI:
• Avís legal
• Política de privacitat
• Política de galetes

Avís legal

Aquest és el document on s'identifica al propietari de la pàgina web. En ell ha d'incloure:
• Nom del propietari
• Número d'inscripció en el Registre mercantil (en cas d'empreses)
• CIF / NIF
• Direcció
• Correu electrònic
S'ha de tenir una enllaç visible a aquest text des de qualsevol pàgina del web.

Política de privacitat


És important revisar la política de privacitat de l'empresa de transport i fer una versió d'aquesta més extensa, que inclogui més informació sobre el processament de les dades.
Així, en el text de Política de privacitat caldrà informar expressament de:
• existència d'un tractament de les dades que se li estan demanant,
• finalitat,
• destinatari o destinataris d'aquella informació,
• legitimació per al tractament,
• termini de conservació de les dades,
• identitat i direcció del responsable del tractament de les dades i
• possibilitat d'exercir els seus drets d'accés, rectificació, cancel·lació i oposició i per quina via.
Tots aquests detalls han de formar part de la política de privacitat. Un cop actualitzada, caldria assegurar-se que aquesta nova versió es publiqui al web.

Política de cookies


Les cookies són arxius d'informació enviats per un lloc web i emmagatzemats en el navegador de l'usuari que visita aquest lloc. S'utilitzen per analitzar les visites a la nostra pàgina web o mostrar publicitat dinàmica.
Per tant, si la teva web inclou una mica d'això, has de complir amb la llei de cookies.
La llei que regula les galetes és la pròpia LSSI. En aquest text s'ha d'informar sobre les cookies utilitzades en la pàgina, la seva finalitat i durada.

5. Contractes amb empleats


Els empleats tenen accés a tota la informació que maneja l'empresa de logística i, per tant, han de signar un acord de confidencialitat per evitar que aquesta informació sigui revelada a persones no autoritzades. També han de complir les mesures de seguretat establertes per l'empresa per garantir la protecció de les dades personals.
En una empresa de transport dels empleats es comuniquen entre ells i amb clients i proveïdors a través de correu electrònic normalment. Això els converteix en objectius dels atacants, perquè l'enginyeria social i el tècniques com el phishing són els mètodes d'atac més utilitzats causa de l'èxit que té per als ciberdelinqüents.

6. Anàlisi de riscos


L'empresa de transport ha també realitzar anàlisis del risc en què es valorin els riscos que puguin derivar-se dels tractaments que es realitzen, tenint en compte, entre altres qüestions,
• tipus de dades,
• naturalesa de les dades,
• mitjans de tractament,
• cessions,
• transferències internacionals i
• nombre d'interessats afectats;
Després d'aquesta anàlisi hauran d'implementar unes mesures de seguretat adequades.
• Mesures organitzatives: per exemple per exemple, nomenar un DPD o fer una avaluació d'impacte
• Mesures tècniques: seudonimización, el xifrat, els mecanismes per garantir confidencialitat, integritat, disponibilitat i resiliència dels sistemes i serveis dedicats al tractament, o per restaurar l'accés en cas d'incident i, en qualsevol cas, per verificar l'eficàcia de les mateixes.

7. Notificar bretxes de seguretat


Una de les obligacions que estableix el nou Reglament és la notificació dels incidents de seguretat que es produeixin en l'empresa, tant als afectats com a l'AEPD.
En el cas que es doni una situació de ciberatac o infracció de seguretat en la immobiliària, l'ideal és estar previnguts amb un pla de resposta davant incidents. Hi ha un límit de 72 hores per a notificar a les autoritats i dotar aquestes d'informació, de manera que el pla s'ha de sotmetre a prova per garantir que compleixi amb el termini.
És important destacar que, tot i que no es permetran infraccions intencionades de la llei, hi ha d'haver atenuants si es pot demostrar a les autoritats i als clients que s'està fent tot el possible per complir amb ella.

Preguntes freqüents


Què passa si a la meva empresa tinc instal·lat un sistema de videovigilància?
En aquest cas has de tenir un cartell a la vista de tots, en cada un dels punts d'accés al recinte, indicant que es tenen càmeres en funcionament.
A més dec tenir un document a disposició de l'interessat, per si ens ho sol·liciten, on he d'informar les diferents finalitats per les quals fem ús de les càmeres de videovigilància. Aquestes podrien ser:
• Preservar la seguretat de les persones i béns, així com de les instal·lacions.
• Realitzar un control laboral, on en aquest cas també estaríem obligats a informar els treballadors.
La captació de la via pública (normalment reservada per a les forces i cossos de seguretat) pot ser major al que era permès abans, sempre que sigui per garantir la seguretat de béns o instal·lacions estratègiques, així com de les infraestructures vinculades al transport de l'empresa.


És obligatori fer un curs de Protecció de Dades?
No, no és obligatori. Però sí que és recomanable formar els empleats perquè compleixin les mesures de seguretat necessàries per protegir les dades personals que manegen.
Les companyies han de conscienciar i proporcionar als seus treballadors totes les eines necessàries perquè comprenguin la importància de la seva tasca de custòdia. Aquests operaris han de ser conscients que estan treballant amb material molt sensible que està legalment protegit. Per tant, les seves empreses han de informar-los bé sobre quines són les seves funcions i responsabilitats i les conseqüències que comportaria realitzar una custòdia deslleial.


Necessito el consentiment dels empleats per instal·lar sistemes de geolocalització?
No cal el seu consentiment, ja que s'emmarca dins de la facultat empresarial de control de l'activitat laboral.
No obstant això, sí has ​​d'informar el treballador de l'ús d'aquest sistema, la finalitat i la conservació d'aquestes dades. La instal·lació de sistemes de geolocalització ha de complir a més el principi de proporcionalitat. I, per descomptat, no pots utilitzar aquesta geolocalització fora de l'horari de treball.


Quant de temps puc conservar les dades de geolocalització?
Les dades relatives a la localització d'un empleat només podran ser conservades durant el temps en què romangui la finalitat del tractament que ha justificat la geolocalització.
Respecte als fins que poden justificar la creació d'un dispositiu de geolocalització, una durada de dos mesesse considera com adequada.
Les dades de localització poden ser conservats per un període superior a dos mesos:
• Per disposició legal
• Si serveix com a prova de l'execució d'un servei, quan no és possible aportar l'evidència per altres mitjans. En aquest cas, la durada de conservació es fixa en un any.
• Amb fins d'optimització de rutes, per un període màxim d'un any.


Sancions


El RGPD obre el ventall a la possibilitat de noves sancions després d'observar que amb la normativa anterior a moltes companyies els compensava infringir la llei i pagar la sanció si eren enxampats en falta, abans de renunciar a la comercialització de les dades. La resposta ha estat un enduriment de les sancions.

Exemples
• En tots els formularis de recollida de dades personals és obligatori informar a l'usuari sobre qui és el responsable del fitxer, per què van a utilitzar-se les dades, si van a cedir-se a tercers i els mitjans per exercir els drets ARCO. Resolució AEPD R / 00507/2018
• Per a l'enviament de comunicacions comercials és obligatori tenir el consentiment exprés de l'afectat per a aquest tractament. No són vàlides les caselles premarcades en els formularis. Resolució AEPD R / 00134/2018


T'ha quedat clar com has de complir la nova normativa de Protecció de Dades en la teva empresa de transports? Doncs comença més aviat possible.

© Copyright 2021 GiroStaff . Tots els drets reservats