Kelio y el RGPD
¡Póngase al día para cumplir el RGPD con el software Kelio!
La puesta en marcha de un software de gestión de recursos humanos y control de acceso requiere utilizar y tratar datos de carácter personal. Las organizaciones vinculadas con la Unión Europea deben cumplir las exigencias del RGPD - el Reglamento General de Protección de Datos Personales.
La normativa del RGPD para los programas de recursos humanos y control de acceso
Toda organización que trate datos personales de sus colaboradores en la Unión Europea debe cumplir el RGPD, que exige:
- asegurar los datos personales recogidos
- respetar los derechos relativos a los datos personales
- poner en marcha una estrategia de gestión responsable de estos datos (incluido un procedimiento de alerta en caso de violación de la seguridad de los datos)
- nombrar a un interlocutor o punto de contacto único.
El software Kelio y el cumplimiento del RGPD
La puesta en marcha de un software de recursos humanos o de control de acceso no garantiza el cumplimiento del RGPD, pero constituye una valiosa ayuda para gestionar adecuadamente los datos personales ya que permite:
- reflexionar sobre el tratamiento de datos personales y crea un marco de gestión
- centralizar el alojamiento de estos datos y protegerlos mejor (sistema asegurado, derechos de acceso, etc.)
- responder de un modo más rápido y sencillo a las solicitudes de ejercicio de derechos.
Las soluciones de software de gestión de tiempos, gestión de RR. HH. y control de acceso Kelio aportan un marco para el tratamiento y la protección de los datos personales de los empleados, por lo que ayudan a las organizaciones a cumplir el RGPD.
HAGA CLIC AQUÍ PARA DESCARGAR UN DOCUMENTO INFORMATIVO SOBRE LA APLICACIÓN DEL RGPD
«Protección de datos desde el diseño» en Kelio
Artículo 25.1: La protección de datos desde el diseño consiste en tener en cuenta, desde la creación o modificación de un tratamiento, los derechos y obligaciones relacionados con los datos de carácter personal, adoptando medidas proactivas para evitar posibles incidentes que atenten contra la privacidad.
Restricción de los campos de datos de cumplimentación obligatoria a aquellos campos realmente indispensables para el tratamiento del contrato del empleado. Para cumplir las disposiciones referentes al consentimiento y evitar la introducción de datos opcionales sin el consentimiento de los implicados, la parametrización de los perfiles de usuario de Kelio permite prohibir esta opción.
Gestión exhaustiva de los derechos de usuario, que permite asignar derechos ultrapersonalizados y comunicar los datos necesarios solo a las personas autorizadas (asignación de derechos por perfil, por individuo, por motivo, por campos de datos, etc.). Por defecto, el software propone derechos de acceso restringidos. Por ejemplo, Kelio permite conceder a cada empleado derechos de acceso de solo lectura o de lectura y escritura a su carpeta individual.
«Protección de datos por defecto» en Kelio
Artículo 25.2: Todos los datos personales, con independencia de su formato (en papel o digitales) y de si son sensibles o no, deben estar asegurados. Las organizaciones deben proteger el acceso (por ejemplo, mediante un sistema de fichado o a través de armarios cerrados con llave), pero también evitar la degradación del papel (protección contra el fuego, el agua, etc.).
Los datos incluidos en el software Kelio cuentan con un alto nivel de seguridad: tanto en modo de licencia (cifrado de los datos, auditorías de seguridad regulares, necesidad de autentificación, etc.) como en modo SaaS (alojamientos de alta seguridad con certificados ISAE3402 e ISO 27001, cortafuegos de alta seguridad, copias de seguridad redundantes, etc.).
Mejora de la seguridad física de sus instalaciones gracias al control de acceso Kelio, que favorece la protección de los datos personales: desactivación de tarjetas de acceso perdidas, derechos de acceso asignados en función del programa de presencias de los empleados, seguimiento de eventos de acceso en caso de incidente, etc.
Ejercicio de los derechos relativos a los datos de carácter personal
Artículo 12: Las personas físicas que hayan facilitado sus datos (como empleados o clientes) tienen derechos sobre dichos datos. Entre estos derechos se cuentan el de acceso, el de rectificación o la solicitud de supresión. La organización debe garantizar la posibilidad de ejercer estos derechos en cualquier momento, para todo tipo de tratamientos y en un plazo máximo de un mes.
Derecho de acceso (artículo 15) / rectificación (artículo 16): con Kelio, puede conceder a los empleados derechos que les permitan consultar libremente sus datos personales y modificar su ficha de empleado con total autonomía.
Derecho al olvido (artículo 17): el software Kelio da la posibilidad de suprimir los datos y sus huellas técnicas. Podrá hacerlo un administrador de Kelio a petición de una persona que justifique su identidad. No obstante, en el área de recursos humanos este derecho está limitado por las obligaciones legales de conservación y eliminación de documentos. Kelio integra purgas automáticas personalizables para iniciar la supresión de datos cuando se ha cumplido su plazo de conservación.
Portabilidad de los datos (artículo 20): con Kelio se pueden crear informes y exportaciones de datos en formatos estándar (PDF, Excel o CSV), que permiten restituir los datos a los administradores del programa.
Ayuda para la elaboración de la documentación mínima
El RGPD introduce el concepto de responsabilidad de la organización (accountability). Debe ejercerse de forma proactiva para garantizar la seguridad de los datos y ha de poder probarse por medio de una documentación mínima obligatoria.
Kelio ofrece un modelo pre-cumplimentado de registro de las actividades de tratamiento de los datos que facilita la elaboración de la documentación mínima exigida por el RGPD (artículo 30).
Las medidas de Kelio con respecto al RGPD
Las empresas y organizaciones (llamadas «responsables del tratamiento») son siempre responsables de la gestión y la protección de los datos de carácter personal, tanto si el tratamiento se efectúa internamente como si se subcontrata a terceros
Kelio asume la figura de «encargado del tratamiento» para sus clientes en el marco de sus servicios de alojamiento en modo SaaS, de integración de software y de asistencia/mantenimiento. Además de mantener las medidas de seguridad anteriores (seguridad digital, vigilancia de instalaciones, copias de seguridad, auditorías de seguridad regulares, etc.), Kelio ha puesto en marcha medidas adicionales para garantizar el cumplimiento de las exigencias establecidas por el RGPD:
- Designación de un delegado de protección de datos (DPO), artículo 37, y de una comisión de control de la protección de datos. Nuestro DPO es un interlocutor especializado en protección de datos de carácter personal y se encarga de comprobar que se respeta el derecho a la vida privada y la correcta aplicación de las normas del RGPD. Aplica y controla la política de gestión de los datos de carácter personal en la empresa. Si desea más información, diríjase a: Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.
- Sensibilización de su personal de diseño, de sus consultores/técnicos y de sus asesores técnicos en materia de requisitos de confidencialidad y buena gestión de los datos de carácter personal
- Compromisos contractuales ante sus clientes «responsables del tratamiento» según el artículo 28: (por ejemplo, compromiso de notificación).
Aspectos concretos a los que los profesionales que tratan los datos de RR. HH. de los empleados han de prestar especial atención
Además de la gestión de datos en Kelio, deben tenerse en cuenta otras medidas técnicas y organizativas:
- La sensibilización: aquellos de sus colaboradores que trabajen regularmente con programas de RR. HH. o de control de acceso y traten datos personales deben conocer las exigencias del RGPD, así como los sistemas de seguridad utilizados para los datos personales. Esta concienciación es especialmente importante porque algunos los datos personales de los empleados pueden ser sensibles, como los relativos al control biométrico (huellas digitales), la afiliación sindical o los datos médicos (artículo 9).
- El «bloqueo»: una organización no puede conservar datos inútiles y debe eliminar los derechos de acceso de cualquier empleado que deje la empresa. Sucede lo mismo con los empleados que cambian de departamento o de puesto: hay que suprimir los derechos antiguos y crear nuevos permisos adecuados a su nuevo destino.
- Las purgas automáticas: cada tipo de datos y de documentos posee una fecha límite de conservación. La organización debe establecer purgas automáticas al final de cada uno de los plazos de conservación. Esta estrategia reduce el riesgo de fallos de seguridad.
- La designación de un DPO: aunque es recomendable en todos los casos, solo es obligatoria en los contextos descritos en el artículo 37, en especial, en los organismos públicos, en las organizaciones que gestionan datos sensibles y en aquellas cuya actividad esencial implica efectuar un seguimiento regular y sistemático de personas a gran escala (como hospitales).
- La notificación en caso de violación de seguridad de los datos: si se produce un problema de seguridad con los datos (como filtración, alteración, destrucción involuntaria o pérdida de datos), la organización debe evaluar la gravedad de la situación y sus posibles repercusiones antes de enviar una notificación a su autoridad de control.