NAV – Supporting Your EU GDPR, Compliance Journey

Dynamics NAV-GDPR-Whitepaper.pdf

On May 25, 2018, the General Data Protection Regulation (GDPR) comes into effect. GDPR is a European
privacy and security law that establishes a new global standard for privacy rights, security, and
compliance. If your organization is a Microsoft Dynamics NAV customer or partner and a data processor
or data controller as defined by the GDPR (see
the GDPR Glossary online
for definitions), then this white
paper is addressed to you.
The GDPR is fundamentally about protecting and enabling the privacy rights of individuals. The GDPR
establishes strict privacy requirements governing how organizations manage and protect personal data
while respecting individual choice—no matter where data is sent, processed, or stored.
Microsoft and our customers are now on a journey to achieve the privacy goals and mandates of the
GDPR. At Microsoft, we believe privacy is a fundamental right, and we believe that the GDPR is an
important step forward for clarifying and enabling individual privacy rights.
Although your journey toward GDPR compliance may seem challenging, we are here to help you. For
specific information about the GDPR, our commitments, and to begin your journey, please visit the
GDPR section of the Microsoft Trust Center.

Anuncios

RGPD – Data Protection Resources

Information about how Microsoft cloud services protect your data, and how you can manage cloud data security and compliance for your organization. More…

Microsoft Dynamics 365 y RGPD

Original URL…

El Reglamento General de Protección de Datos o RGPD trata principalmente de la protección de los derechos de privacidad de las personas y su puesta en práctica. Obtenga más información sobre el compromiso de Microsoft con la seguridad en el Centro de confianza de Microsoft.

En el caso de las aplicaciones y los servicios de Dynamics 365, encontrará información general sobre el RGPD en las notas del producto siguientes. En ellas se sugiere un enfoque para mejorar sus capacidades de protección de datos y para cumplir el RGPD, en un proceso en cuatro etapas: Detectar, Administrar, Proteger e Informar.

Dynamics NAV – Microsoft Dynamics NAV

RGPD – Las claves del nuevo Reglamento General de Protección de Datos

Original URL…

Uno de los cambios más importantes será que toda organización estará obligada a saber exactamente qué datos tiene, cuándo y cómo los ha recopilado, dónde se almacena, quién los maneja y con qué objetivo. La nueva ley, básicamente, garantizará una mayor seguridad y control a cualquier individuo sobre su información personal, de ahí el minucioso control que se tendrá de cualquier dato. Actualmente se mercadea con los datos personales tanto en Europa como en el resto del mundo. Esta nueva ley es europea pero el resto de los continentes deben cumplirla si trabajan con datos europeos. El incumplimiento del RGPD comportará elevadas multas.

Bien, vayamos paso por paso. En este post iremos explicando poco a poco la nueva normativa; en qué influirá, las consecuencias y algunos factores que las empresas deberemos tener controlados.

El nuevo Reglamento General de la Protección de Datos se aprobó en mayo del 2016, así que bastantes puntos que se exigen en la nueva ley (que será aplicable en mayo del 2018) ya se han ido aplicando a lo largo de estos dos años. Como ya hemos comentado anteriormente, la propia empresa deberá analizar todos los datos que han obtenido, con qué finalidad los han recopilado y qué tipo de tratamiento les van a dar a éstos.

El tratamiento de los datos no queda aquí, la recopilación debe ser: justa, legítima y explícita. ¿Qué quiere decir? La empresa solo podrá recopilar información acorde con su actividad económica. Además, deberá pedir la conformidad de la persona de una forma clara, legal y transparente (evidentemente, de una forma entendible). El lenguaje que se utilizará para pedir el consentimiento será sencillo, conciso, estructurado, sin usar una jerga legal, de fácil acceso. Se debe evitar prácticas como pre-marcar las casillas del procedimiento de gestión del consentimiento.

Una vez tengamos recopilada la información de la forma correcta, la empresa deberá tener preparada una plataforma por si el ciudadano quiere tener acceso a la información que se tenga del mismo. Los datos sólo serán usados para un único propósito. Por otro lado, se contemplará su derecho de rectificación de la información que se posee e incluso el derecho al olvido. Los interesados pueden solicitar todos los datos que hacen referencia a ellos, sus localizaciones y su uso. Es decir, pueden pedir explicaciones de su tratamiento y la finalidad de tener la información guardada.

Para velar por el uso correcto de los datos personales y su seguridad, la empresa que trabaja con ellos deberá seguir el principio de la responsabilidad (explicar de una forma clara y sencilla cómo se usará la información), nombrará a un Delegado de Protección de Datos (DPD) que se dedicará al seguimiento de los informes y gestionará las quejas. Otro paso importante que la empresa debe realizar una Evaluación de Impacto de Protección de Datos (DPIA), es decir, plantear un mapeado de los riesgos que puede sufrir la empresa y las medidas que se tomarán frente al problema.

Si en un momento dado la empresa sufre una fuga de datos tendrá 72 horas para avisar a la entidad supervisora. Las multas pueden llegar hasta los 20 millones o a pedir el 4% de la facturación anual global de la empresa. Las entidades que gestionan la protección de datos son: la Agencia Española de Protección de Datos (AEPD), la Autoritat Catalana de Protecció de Dades (APDCAT) y la Agencia Vasca de Datos (AVPD). Dejando de lado las posibles fugas, las agencias también podrán actuar, revisar y pedir el DPIA o la base de datos (con los permisos requeridos) bajo la denuncia de cualquier persona o como una auditoria.

Para cumplir con el nuevo reglamento, la autoridad de la protección de datos recomienda adoptar un modelo de información por capas. El modelo multinivel consiste en:

Presentar toda la información básica en un primer nivel, de manera muy resumida y clara en el mismo momento y en el medio en el que se recojan los datos. Por ejemplo, información de primer nivel seria comentar en una llamada telefónica el responsable, el motivo por el que queremos los datos, la base jurídica, la fuente de los datos, previsión de ceder o no la información, etc.

Presentación de información adicional en el segundo nivel. Esta información es mucho más extensa, se trata de una explicación mucho más detallada que incluso se puede adjuntar en otro tipo de formato como un correo electrónico o por correo postal.

blogImagen extraída de la Guía para el cumplimiento del deber de informar