Introducción
El Reglamento General de Protección de Datos de la UE (“RGPD”) entra en vigor en toda la Unión Europea el 25 de mayo de 2018 y trae consigo los cambios más significativos en la legislación sobre protección de datos en dos décadas. Basado en la privacidad desde el diseño y adoptando un enfoque basado en el riesgo, el RGPD ha sido diseñado para cumplir con los requisitos de la era digital.
El siglo XXI trae consigo un uso más amplio de la tecnología, nuevas definiciones de lo que constituye información personal y un gran aumento del procesamiento transfronterizo. El nuevo Reglamento tiene como objetivo estandarizar las leyes de protección de datos y el procesamiento en toda la UE, otorgando a las personas derechos más sólidos y consistentes para acceder y controlar su información personal.
Nuestro compromiso
The Cool Dude Shop se compromete a garantizar la seguridad y la protección de la información personal que procesamos, y a ofrecer un enfoque coherente y conforme con la normativa en materia de protección de datos. Siempre hemos implementado un programa de protección de datos sólido y eficaz que cumple con la legislación vigente y se rige por los principios de protección de datos. Sin embargo, reconocemos nuestras obligaciones en lo que respecta a actualizar y ampliar este programa para cumplir con las exigencias del RGPD.
The Cool Dude Shop se dedica a salvaguardar la información personal bajo nuestro control y a desarrollar un régimen de protección de datos que sea eficaz, adecuado para el propósito y que demuestre comprensión y aprecio por el nuevo Reglamento. Nuestra preparación y objetivos para el cumplimiento del RGPD se han resumido en esta declaración e incluyen el desarrollo e implementación de nuevas funciones, políticas, procedimientos, controles y medidas de protección de datos para garantizar un cumplimiento máximo y continuo.
Cómo nos estamos preparando para el RGPD
The Cool Dude Shop ya cuenta con un nivel uniforme de protección y seguridad de datos en toda nuestra organización, sin embargo, nuestro objetivo es cumplir plenamente con el RGPD antes del 25 de mayo de 2018. Nuestra preparación incluye:
-
Auditoría de información : realización de una auditoría de información en toda la empresa para identificar y evaluar qué información personal tenemos, de dónde proviene, cómo y por qué se procesa y si se divulga y a quién.
-
Políticas y procedimientos : implementación de nuevos políticas y procedimientos de protección de datos para cumplir con los requisitos y estándares del RGPD y cualquier ley de protección de datos relevante, incluyendo: -
-
Protección de datos : nuestro documento principal de políticas y procedimientos para la protección de datos se ha revisado para cumplir con los estándares y requisitos del RGPD. Se han implementado medidas de rendición de cuentas y gobernanza para garantizar que entendemos y difundimos y demostramos adecuadamente nuestras obligaciones y responsabilidades, con un enfoque específico en la privacidad desde el diseño y los derechos de las personas.
-
Retención y borrado de datos : hemos actualizado nuestra política y nuestro cronograma de retención para garantizar que cumplimos con los principios de "minimización de datos" y "limitación del almacenamiento" y que la información personal se almacena, archiva y destruye de manera ética y conforme a las normas. Hemos implementado procedimientos de borrado específicos para cumplir con la nueva obligación de "derecho de borrado" y somos conscientes de cuándo se aplican este y otros derechos de los titulares de los datos, junto con las exenciones, los plazos de respuesta y las responsabilidades de notificación.
-
Violaciones de datos : nuestros procedimientos en caso de violación de datos garantizan que tengamos medidas y salvaguardas establecidas para identificar, evaluar, investigar y denunciar cualquier violación de datos personales lo antes posible. Nuestros procedimientos son sólidos y se han difundido entre todos los empleados, para que conozcan las líneas de denuncia y los pasos a seguir.
-
Transferencias internacionales de datos y divulgaciones a terceros : cuando [insertar nombre de la organización] almacena o transfiere información personal fuera de la UE, contamos con procedimientos sólidos y medidas de protección para proteger, cifrar y mantener la integridad de los datos. Nuestros procedimientos incluyen una revisión continua de los países con decisiones de adecuación suficientes, así como disposiciones para normas corporativas vinculantes; cláusulas estándar de protección de datos o códigos de conducta aprobados para aquellos países que no las tienen. Realizamos controles estrictos de diligencia debida con todos los destinatarios de datos personales para evaluar y verificar que cuentan con las salvaguardas adecuadas para proteger la información, garantizar los derechos exigibles de los interesados y tener recursos legales efectivos para los interesados cuando corresponda.
-
Solicitud de acceso a los datos personales (SAR) : hemos revisado nuestros procedimientos de SAR para adaptarnos al nuevo plazo de 30 días para proporcionar la información solicitada y para que esta prestación sea gratuita. Nuestros nuevos procedimientos detallan cómo verificar al titular de los datos, qué pasos se deben seguir para procesar una solicitud de acceso, qué exenciones se aplican y un conjunto de plantillas de respuesta para garantizar que las comunicaciones con los titulares de los datos cumplan con las normas, sean coherentes y adecuadas.
-
Fundamento jurídico del tratamiento : estamos revisando todas las actividades de tratamiento para identificar el fundamento jurídico del tratamiento y asegurarnos de que cada uno de ellos sea adecuado para la actividad a la que se refiere. Cuando corresponde, también mantenemos registros de nuestras actividades de tratamiento, lo que garantiza que se cumplan nuestras obligaciones en virtud del artículo 30 del RGPD y el Anexo 1 del Proyecto de Ley de Protección de Datos.
-
Aviso/Política de Privacidad – estamos revisando nuestro(s) Aviso(s) de Privacidad para cumplir con el RGPD, garantizando que todas las personas cuya información personal procesamos hayan sido informadas de por qué la necesitamos, cómo se utiliza, cuáles son sus derechos, a quién se divulga la información y qué medidas de protección existen para proteger su información.
-
Obtención del consentimiento : estamos revisando Nuestros mecanismos de consentimiento para obtener datos personales, garantizando que las personas comprendan lo que están proporcionando, por qué y cómo lo usamos y brindando formas claras y definidas para que consientan que procesemos su información. Hemos desarrollado procesos estrictos para registrar el consentimiento, asegurándonos de que podemos demostrar una aceptación afirmativa, junto con registros de fecha y hora; y una forma fácil de ver y acceder para retirar el consentimiento en cualquier momento.
-
Marketing directo : estamos revisando la redacción y los procesos para el marketing directo, incluidos mecanismos claros de suscripción voluntaria para suscripciones de marketing, un aviso claro y un método para cancelar la suscripción y proporcionar funciones de cancelación de suscripción en todos los materiales de marketing posteriores.
-
Evaluaciones de impacto de la protección de datos (EIPD) : cuando procesamos información personal que se considera de alto riesgo, implica un procesamiento a gran escala o incluye datos de categorías especiales o condenas penales, hemos desarrollado procedimientos estrictos y plantillas de evaluación para llevar a cabo evaluaciones de impacto que cumplen plenamente con los requisitos del artículo 35 del RGPD. Hemos implementado procesos de documentación que registran cada evaluación, nos permiten evaluar el riesgo que plantea la actividad de procesamiento e implementar medidas de mitigación para reducir el riesgo que representa para el titular de los datos.
-
Acuerdos de procesamiento : cuando utilizamos a un tercero para procesar información personal en nuestro nombre ( por ejemplo, nóminas, contratación, alojamiento, etc. ), hemos redactado Acuerdos de procesamiento compatibles y procedimientos de diligencia debida para garantizar que ellos ( así como nosotros ) cumplan y comprendan sus/nuestras obligaciones de conformidad con el RGPD. Estas medidas incluyen revisiones iniciales y continuas del servicio prestado, la necesidad de la actividad de procesamiento, las medidas técnicas y organizativas implementadas y el cumplimiento del RGPD.
-
Datos de categorías especiales : cuando obtenemos y procesamos información de categorías especiales, lo hacemos en total cumplimiento de los requisitos del Artículo 9 y contamos con encriptaciones y protecciones de alto nivel para todos esos datos. Los datos de categorías especiales solo se procesan cuando es necesario y solo se procesan cuando hemos identificado primero la base del Artículo 9(2) o la condición del Anexo 1 del Proyecto de Ley de Protección de Datos. Cuando dependemos del consentimiento para el procesamiento, este es explícito y se verifica mediante una firma, y el derecho a modificar o retirar el consentimiento está claramente indicado.
Derechos del titular de los datos
Además de las políticas y procedimientos mencionados anteriormente que garantizan que las personas puedan hacer valer sus derechos de protección de datos, proporcionamos información de fácil acceso a través de www.thecooldudeshop.com/privacy-policy sobre el derecho de una persona a acceder a cualquier información personal que The Cool Dude Shop procesa sobre ellos y a solicitar información sobre: -
-
Qué datos personales tenemos sobre ellos
-
Finalidades del tratamiento
-
Las categorías de datos personales en cuestión
-
Los destinatarios a quienes se han comunicado o se comunicarán los datos personales
-
Durante cuánto tiempo pretendemos conservar sus datos personales
-
Si no recopilamos los datos directamente de ellos, información sobre la fuente
-
El derecho a que se corrijan o completen los datos incompletos o inexactos que les conciernen y el proceso para solicitarlo
-
El derecho a solicitar la eliminación de datos personales ( cuando corresponda ) o restringir el procesamiento de acuerdo con las leyes de protección de datos, así como oponerse a cualquier marketing directo de nuestra parte y ser informado sobre cualquier toma de decisiones automatizada que utilicemos.
-
El derecho a presentar una queja o solicitar un recurso judicial y a quién dirigirse en tales casos
Seguridad de la información y medidas técnicas y organizativas
The Cool Dude Shop se toma muy en serio la privacidad y la seguridad de las personas y su información personal y toma todas las medidas y precauciones razonables para proteger y asegurar los datos personales que procesamos. Contamos con sólidas políticas y procedimientos de seguridad de la información para proteger la información personal del acceso, alteración, divulgación o destrucción no autorizados y contamos con varios niveles de medidas de seguridad.