Este artículo, escrito por Barbara Cosgrove, apareció originalmente en inglés en el blog de Workday. Pensamos que también sería de interés para los lectores hispanohablantes, por lo que lo ofrecemos traducido a continuación.
Dentro de un año entrará en vigor el Reglamento general de protección de datos (RGPD) de la Unión Europea. Es un buen momento para hablar de la oferta de herramientas que ayudan a los clientes de Workday a cumplir las obligaciones derivadas del RGPD.
Para refrescar la memoria: El RGPD es un reglamento de la Unión Europea destinado a armonizar el mosaico de leyes de protección de datos existentes en Europa. Deroga y sustituye a la actual directiva de protección de datos de la UE y también al complicado sistema de legislación sobre privacidad que cada estado miembro venía aplicando bajo dicha directiva.
Responsabilidades de RGPD compartidas
En lo que respecta al cumplimiento normativo del reglamento RGPD, tanto Workday como los clientes tenemos responsabilidades: nuestros clientes como controladores de datos y Workday como procesador. Según la página oficial de preguntas habituales del RGPD, un controlador es la entidad que determina los propósitos, las condiciones y las formas de procesar datos personales; mientras que el procesador es una entidad que procesa datos personales en nombre del controlador.
A continuación destacamos algunos aspectos de la protección ofrecida por Workday en su calidad de procesador de datos, así como las herramientas que ofrecemos a nuestros clientes para que cumplan con sus responsabilidades como controladores. Workday ya ha empezado a actualizar los términos de procesamiento de datos que ofrecemos para que nuestros clientes cumplan los requisitos del reglamento RGPD. Además hay disponible una sección de preguntas habituales en nuestro sitio web de clientes, Comunidad de Workday, que iremos actualizando a medida que se publiquen nuevas directrices.
Workday como procesador de datos
Seguridad: Workday ha creado estándares de seguridad y protección de datos para superar rigurosas auditorías de cumplimiento normativo de terceros en controles de seguridad, confidencialidad, disponibilidad, integridad de procesamiento y privacidad. En concreto, el sistema de aplicaciones Workday permite a los clientes gestionar y controlar el acceso de sus usuarios a aplicaciones Workday, y ofrece un marco estandarizado, basado en roles, para definir el acceso.
Transferencias internacionales de datos: El reglamento RGPD sigue permitiendo la circulación de datos personales de un país a otro e incluye disposiciones que aseguran la validez futura de los mecanismos de transferencia de datos existentes. Los clientes de Workday pueden elegir entre varios mecanismos de transferencia de datos de conformidad con el RGPD, para transferir a Workday datos personales fuera del Espacio Económico Europeo. Los clientes pueden utilizar la certificación Privacy Shield de Workday o firmar cláusulas contractuales estándar.
Evaluaciones de impacto sobre la vida privada: El RGPD requiere evaluaciones de muchos tipos de procesamiento de datos. El equipo de privacidad de Workday realiza periódicamente meticulosas evaluaciones de funciones, tecnología, incorporaciones de terceros y operaciones relacionadas con nuestro servicio. Aunque no creemos que vaya a haber cambios significativos en nuestros métodos ya rigurosos de por sí, nuestro equipo de privacidad mantiene el seguimiento del RGPD para garantizar que nuestras evaluaciones de impacto sobre la vida privada cumplen todos los requisitos nuevos.
Evaluaciones de impacto sobre la vida privada: El RGPD requiere evaluaciones de muchos tipos de procesamiento de datos. El equipo de privacidad de Workday realiza periódicamente meticulosas evaluaciones de funciones, tecnología, incorporaciones de terceros y operaciones relacionadas con nuestro servicio. Aunque no creemos que vaya a haber cambios significativos en nuestros métodos ya rigurosos de por sí, nuestro equipo de privacidad mantiene el seguimiento del RGPD para garantizar que nuestras evaluaciones de impacto sobre la vida privada cumplen todos los requisitos nuevos.
El cliente como controlador de datos
Además de cumplir sus propias obligaciones como procesador de datos personales según lo estipulado por el reglamento RGPD, Workday también presta todo tipo de asistencia para que nuestros clientes cumplan las obligaciones que les conciernen según dicho reglamento. Entre ellas:
Purga de datos: Para cumplimiento del derecho al olvido, Workday ofrece una amplia gama de funciones de purga de datos. Por ejemplo, puede que un cliente ubicado en Francia tenga que purgar ciertos datos personales registrados hace más de cinco años relativos a antiguos empleados. Con la función de purga de datos personales, los clientes pueden seleccionar el grupo de exempleados cuyos datos se deben eliminar.
Derechos de acceso: Workday ofrece funciones configurables para ayudar a los clientes a cumplir los derechos de acceso según las disposiciones del RGPD. En concreto, el sistema de aplicaciones Workday permite a los clientes gestionar y controlar el acceso de sus usuarios a aplicaciones Workday, y ofrece un marco estandarizado para definir el acceso basado en roles.
Registro de actividades: A fin de ayudar a los clientes a proteger sus datos personales contra amenazas de seguridad, Workday registra la actividad de cada cuenta. Esto incluye inicios de sesión correctos e intentos fallidos, así como cambios o adición de datos a cargo de nuestros clientes y sus usuarios finales. Los administradores de seguridad pueden ver los informes de inicios de sesión realizados o fallidos; y las personas con rol de auditor pueden ejecutar informes para ver cambios de datos hechos por cualquier persona en el sistema durante un periodo de tiempo concreto. Esto también ayudará a los clientes a demostrar la supervisión y el seguimiento de acceso, con un alto nivel de garantía de cumplimiento.
Auditorías independientes de controles y procesos de Workday: Los clientes pueden remitirse con toda confianza a los procedimientos llevados a cabo por nuestros auditores independientes como parte de los procedimientos ISO y SOC para demostrar el cumplimiento del RGPD. Además pueden compartir nuestro informe SOC-3, disponible públicamente, que sirve como resumen el informe SOC-2. También pueden suscribirse al Customer Audit Program de Workday si quieren saber más sobre los controles de Workday.
Nos tomamos el cumplimiento normativo en serio y nos gustaría colaborar con nuestros clientes para que tanto ellos como nosotros podamos cumplir las responsabilidades derivadas del RGPD. Seguiremos publicando preguntas habituales y blogs para preparar la llegada del RGPD. En conclusión, los clientes pueden tener la confianza de que las funciones disponibles con Workday les ayudarán a cumplir el reglamento RGPD.