El blog de cubells

La pitjor de les cartes possibles?

En uns mesos, gràcies al GDPR, la compartició de dades es posarà seriosa a la unió europea. Tal com vaig explicar, es vol controlar què es fa amb les nostres dades. Això és bo per als usuaris, perquè ens assegura que ningú farà un ús comercial de la nostra informació, però és una obligació per a les empreses, perquè les obliga a reforçar la protecció i seguiment del processament de les dades que té dels seus clients.

Per això, m'agradat aquest article d'un canadenc on ha dissenyat una possible carta patró que pot rebre qualsevol responsable informàtic en una empresa, on un client sol·licita informació sobre les seves dades personals.

Si teniu una empresa a Europa i voleu fer negocis, heu de poder respondre a qualsevol de les demandes d'aquesta carta. Poseu-vos les piles.

La carta seria la següent:

Estimat Senyor/a:

Us escric en la vostra condició de responsable de protecció de dades de la vostra empresa. Sóc un client vostre i, a la llum dels esdeveniments recents, faig aquesta sol·licitud d'accés a les meves dades personals d'acord amb l'article 15 del Reglament General de Protecció de Dades. Em preocupa que les pràctiques d'informació de la vostra empresa poguessin posar la meva informació personal en un risc indegut d'exposició o, de fet, que incompliren l'obligació de salvaguardar la meva informació personal en virtut .

Incloc una còpia de la documentació necessària per verificar la meva identitat. Si necessiteu més informació, poseu-vos en contacte amb mi a la meva adreça anterior.

Desitjo que tingueu en compte abans de res, que espero una resposta a la meva sol·licitud dins d'un mes, tal com es requereix en virtut de l'article 12, i, en cas contrari, reenviaré la meva consulta amb una carta de queixa davant la .

Informeu-me del següent:

1. Confirmeu si les meves dades personals s'estan processant o no. Si és així, proporcioneu-me les categories de dades personals que teniu sobre mi en els vostres fitxers i bases de dades.

a. En particular, digueu-me què sabeu de mi en els vostres sistemes d'informació, incloses les bases de dades o no, inclòs el correu electrònic, els documents a les vostres xarxes o veu o altres mitjans que pugueu emmagatzemar.

b. A més, notifiqueu-me en quins països s'emmagatzemen o són accessibles les meves dades personals. En cas de fer ús de serveis en el núvol per emmagatzemar o processar les meves dades, incloeu els països dels servidors on es troben les meves dades (en els darrers 12 mesos) emmagatzemades.

c. Proporcioneu-me una còpia o accés a les meves dades personals que tingueu o que estigueu processant.

2. Proporcioneu-me una comptabilitat detallada dels usos específics que heu realitzat, que feu o fareu de les meves dades personals.

3. Proporcioneu una llista de tots els tercers amb els quals teniu (o pugueu) haver compartit les meves dades personals.

a. Si no podeu identificar amb certesa les terceres parts específiques a les quals heu revelat les meves dades personals, proporcioneu una llista de tercers als quals heu revelat les meves dades personals.

b. Identifiqueu també quines jurisdiccions que heu identificat a l'apartat 1 (b) anterior amb qui teniu o heu compartit les meves dades personals, de les quals aquests tercers han emmagatzemat o poden accedir a les meves dades personals. També proporcioneu informació sobre els motius legals per transferir les meves dades personals a aquestes jurisdiccions. Quan ho hàgiu fet o ho feu, sobre la base de les garanties adequades, proporcioneu-me una còpia.

c. A més, m'agradaria saber quines mesures de salvaguarda s'han establert en relació amb aquests tercers que heu identificat en relació amb la transferència de les meves dades personals.

4. Informeu quant de temps emmagatzemeu les meves dades personals i si la retenció es basa en la categoria de dades personals, identifiqueu el temps que es conserva cada categoria.

5. Si a més a més, recopileu dades personals sobre mi des de qualsevol font que no sigui jo, proporcioneu-me tota la informació sobre el seu origen, tal com es fa referència a l'article 14 del GDPR.

6. Si esteu prenent decisions automatitzades sobre mi, inclosos els perfils, independentment de l'article 22 del GDPR, proporcioneu-me informació sobre la base de la lògica en la presa de decisions automatitzades i la importància i conseqüències de aquest processament.

7. M'agradaria saber si les meves dades personals han estat revelades de manera inadvertida per la vostra empresa en el passat o com a conseqüència d'una infracció de seguretat o privadesa.

a. Si és així, informeu sobre els següents detalls de cadascuna de les infraccions següents:

i. una descripció general del que va passar;

ii. la data i l'hora de l'incompliment (o la millor estimació possible);

iii. la data i l'hora en què es va descobrir l'incompliment;

iv. la font de l'incompliment (ja sigui la vostra pròpia organització o un tercer a qui heu transferit les meves dades personals);

v. detalls de les meves dades personals que es van divulgar;

vi. l'avaluació de la vostra empresa del risc de dany per mi mateix, com a conseqüència de l'incompliment;

vii. una descripció de les mesures preses o que es prendran per evitar un accés no autoritzat a les meves dades personals;

viii. informació de contacte perquè pugui obtenir més informació i assistència en relació amb aquest incompliment i

ix. informació i assessorament sobre el que puc fer per protegir-me contra qualsevol dany, inclòs el robatori d'identitat i el frau.

b. Si no podeu afirmar amb certesa si s'ha produït aquesta exposició, mitjançant l'ús de les tecnologies adequades, informeu-nos de quins passos de mitigació heu pres, com ara

i. Encriptació de les meves dades personals;

ii. Estratègies de minimització de dades; o,

iii. Anonimització o seudonimització;

iv. Qualsevol altre mitjà

8. M'agradaria conèixer les vostres polítiques i normes d'informació que seguiu en relació amb la salvaguarda de les meves dades personals, com si s'adheriu a l'ISO27001 per a la seguretat de la informació, i més concretament, les vostres pràctiques en relació amb el següent:

a. Informeu-me de si heu realitzat una còpia de seguretat de les meves dades personals en cinta, en disc o en altres suports, i on són emmagatzemades i com es garanteix, incloent-hi els passos que heu pres per protegir les meves dades personals de pèrdua o robatori i si això inclou encriptació.

b. També informeu-me si teniu alguna tecnologia que us permeti conèixer amb certesa raonable si s'han divulgat o no les meves dades personals, que inclouen, entre d'altres, el següent:

i. Sistemes de detecció d'intrusos;

ii. Tecnologies de tallafocs;

iii. Tecnologies d'accés i gestió d'identitats;

iv. Auditoria de bases de dades i/o eines de seguretat; o,

v. Eines d'anàlisi del comportament, eines d'anàlisi de registres o eines d'auditoria;

9. Pel que fa als empleats i contractistes, informeu del següent:

a. Quines tecnologies o procediments comercials han de vetllar perquè les persones de la seva organització siguin supervisades per assegurar-se que no revelen de forma intencionada o inadvertida dades personals fora de la vostra empresa, a través del correu electrònic, el correu web o la missatgeria instantània o d'una altra manera.

b. Heu tingut alguna circumstància en què els empleats o els contractistes han estat acomiadats i/o han estat acusats de conformitat amb les lleis penals per accedir a les meves dades personals de manera inapropiada, o si no podeu determinar-ho, de cap client, en els últims dotze mesos.

c. Informeu-me sobre quines mesures de formació i de sensibilització heu pres per garantir que els empleats i contractistes accedeixin i processin les meves dades personals de conformitat amb el Reglament General de Protecció de Dades.

Atentament,

Sense comentaris encara. Comenta ara