Formularios

¿Qué datos personales se pueden solicitar en un formulario web?

- Publicado por Redacción RD.

¿Construir una cubierta de diapositivas, tono o presentación? Aquí están las grandes conclusiones:

  • Las personas pueden obtener acceso a todos sus datos de una empresa determinada, incluido su empleador, presentando una solicitud de acceso de sujeto.
  • El GDPR eliminará el costo de las solicitudes de acceso al sujeto y acortará el tiempo de respuesta requerido de 40 días a 30.

La fecha límite del 25 de mayo para el Reglamento General de Protección de Datos de la UE (GDPR) es un abrochamiento rápido, y los próximos cambios cambiarán en gran medida la capacidad de las empresas para interactuar con los datos de los clientes.

Muchas personas conocen el GDPR por su regulación de línea dura alrededor del «derecho a ser olvidado», donde un individuo puede solicitar a una empresa que borre los datos personales que les tiene. Sin embargo, también contiene el derecho a acceder a cualquier información que pueda tener una empresa, incluido su empleador.

El proceso para el acceso a los datos bajo GDPR será principalmente el mismo que en la Ley de Protección de Datos de 1998, pero con algunas ligeras diferencias. Para empezar, una persona deberá presentar una solicitud de acceso de sujeto (SAR) que, como lo señaló The Guardian, es simplemente «un correo electrónico, fax o carta solicitando sus datos personales».

Para obtener pautas claras sobre el envío de un SAR, consulte el Código de práctica de acceso de sujeto de la Oficina del Comisionado de Información (ICO). No se requiere un formato particular, siempre que la solicitud se realice por escrito.

Hay dos diferencias clave entre las solicitudes SAR realizadas bajo la Ley de privacidad de datos y las que se realizan bajo GDPR: el costo y el marco de tiempo.

¿Qué datos personales se pueden solicitar para un formulario?

(Tarjetas de síntesis redactadas por la oficina del garante con un mero propósito popular. Para un marco completo del asunto, consulte la legislación sobre la protección de los datos personales y las medidas de la autoridad. Para dudas y preguntas, se sugiere contactar al URP del garante)

Principios generales del procesamiento de datos personales

Cada procesamiento de datos personales debe tener lugar de conformidad con los principios establecidos en el Artículo 5 del Reglamento (UE) 2016/679, que se recuerdan brevemente:

legalidad, corrección y transparencia del tratamiento, hacia la parte interesada;

limitación del propósito del procesamiento, incluida la obligación de garantizar que los tratamientos posteriores no sean incompatibles con los propósitos de la recopilación de datos;

Minimización de datos: es decir, los datos deben ser adecuados y limitados a lo que es necesario con respecto a los fines del procesamiento;

precisión y actualización de los datos, incluida la cancelación oportuna de los datos que son inexactos en comparación con los propósitos del procesamiento;

Limitación de la conservación: es decir, es necesario mantener los datos durante un tiempo que no excedan los necesarios en comparación con los fines para los cuales se realizó el procesamiento;

La regulación (Artículo 5, Párrafo 2) requiere que el propietario respete todos estos principios y pueda «poder probarlo». Este es el principio llamado «empoderamiento» (o responsabilidad) que luego es más explícito del Artículo 24, Párrafo 1, del Reglamento, donde se afirma que «el propietario establece medidas técnicas y organizativas adecuadas para garantizar y estar en capaz de demostrar que el tratamiento se lleva a cabo de acuerdo con esta regulación «.

¿Qué datos personales se pueden solicitar en un formulario?

Tiene derecho a solicitar y obtener de la confirmación de la empresa/organización sobre si contiene o no los datos personales que le concierne.

Si tienen sus datos personales, entonces tiene derecho a acceder a esos datos, se les proporciona una copia y obtenga cualquier información adicional relevante (como su razón para procesar sus datos personales, las categorías de datos personales utilizados, etc.).

Este derecho de acceso debe ser fácil y ser posible a intervalos razonables. La empresa/organización debe proporcionar una copia de sus datos personales de forma gratuita. Cualquier copia adicional puede estar sujeta a una tarifa razonable. Cuando la solicitud se realiza por medios electrónicos (por ejemplo, a través de un correo electrónico), y a menos que usted solicite lo contrario, la información debe proporcionarse en una forma electrónica de uso común.

Este derecho no es absoluto: el uso del derecho a acceder a sus datos personales no debe afectar los derechos y las libertades de los demás, incluidos los secretos comerciales o la propiedad intelectual.

Pidas prestados libros de una biblioteca. Puede pedirle a la biblioteca que le proporcione los datos personales que le preocupan que tienen. La biblioteca debe proporcionarle toda la información sobre usted que esté almacenada por ellos. Por ejemplo, cuando comenzó a usar los servicios de la biblioteca, qué libros ha tomado prestado; Ya sea que alguna vez haya tenido algún libro retrasado y multas en las que podría haber incurrido.

Usted se suscribió a un esquema de tarjetas de fidelización de una cadena de supermercados ubicada en diferentes partes de la ciudad y en todo el país. Si utiliza su derecho a solicitar información y obtener su información personal almacenada por el esquema de la tarjeta de fidelización, debe recibir información sobre, por ejemplo, con qué frecuencia usó la tarjeta, en qué supermercados realizó sus compras, cualquier descuento que fue Otorgado y si fue dirigido mediante el uso de técnicas de perfil, y de qué manera, si el supermercado, que forma parte de una cadena multinacional de empresas, ha revelado sus datos a su compañía hermana que vende perfumes y cosméticos.

¿Qué son los datos personales de una persona?

La información de identificación personal (PII, información identificable personal) son datos que permiten la identificación directa de la parte interesada, entre los cuales tenemos (también considerando la definición del Instituto Nacional de Normas y Tecnología, NIST): – Nombre y apellido – Dirección de hogar – Dirección de correo electrónico – Número de identificación nacional – Número de pasaporte – Dirección IP (cuando está conectada a otros datos) – Número de matrícula del vehículo – Número de licencia – Face, huellas digitales o caligrafía – Números de tarjeta de crédito – Identidad Digital – Fecha de nacimiento – Lugar de nacimiento – Información genética – Número de teléfono – Nombre o apodo de la cuenta; – Datos de localización y movilidad (GPS).

Estos son sustancialmente «datos confidenciales» sustancialmente antiguos, con algunas adiciones, para las cuales la Convención 108 ya proporciona una protección fortalecida, es decir, prescribe un consenso explícito incluso si no necesariamente escrito, porque se refieren particular a los aspectos particulares del individuo y se pueden usar a propósitos discriminatorios. La nueva regulación europea habla de datos sujetos a procesamiento especial, es decir, aquellos datos utilizados en el pasado para discriminar a las personas y cuya protección tiene el propósito de garantizar la libertad de pensamiento y opinión, la dignidad de la persona y la libertad de la posible discriminación (ver perfil). En comparación con la legislación anterior, la regulación europea también agrega los datos genéticos y los datos biométricos entre aquellos con procesamiento especial.

El artículo 9 y 10 de la sanción GDPR es una prohibición general de procesar algunas categorías particulares de datos, es decir, los datos que revelan: – El origen racial o étnico; – Opiniones políticas; – Creencias religiosas o filosóficas; – Pertenencia sindical; – datos genéticos, que proporcionan información única sobre la fisiología o la salud de un individuo (para quien el garante extendió la validez de la autorización general del 15 de diciembre de 2016); – Datos biométricos destinados a identificar de manera exclusiva a una persona natural (por ejemplo, un grupo de fotografías cargadas en línea o en los aeropuertos donde se escanea la imagen del individuo para identificarla); – Datos relacionados con la salud (también la simple herida de una mano), es decir, todos los datos que revelan información sobre el estado de salud física o mental o salud mental, presente y futuro de la persona interesada, para ser interpretados en un amplio Sentido al incluir información sobre todos los aspectos, como físico y psíquico, de la salud de una persona (ver la sentencia del Tribunal de Justicia de Europa del 6 de noviembre de 2003, c 101/01, Rs Lindqvist, Punto 50 F); – datos relacionados con la vida sexual o la orientación sexual de la persona; – Datos relacionados con condenas y delitos penales (revelan la existencia de medidas penales susceptibles al registro en la caja judicial, o la calidad del sospechoso o acusado, ver Código de privacidad de 2 octavos de arte), cuyo tratamiento está permitido solo si está autorizado por la ley o regulación.

¿Qué es un formulario de datos personales?

Llegamos al grano. ¿Cómo se materializan las indicaciones teóricas del GDPR? ¿Cuáles son las características que debe tener un formulario de recopilación de datos compatible?
Cualquiera que sea el propósito para el que recopile los datos personales en su sitio, debe determinar que los módulos de recopilación de datos recopilan un consenso legal y que la recopilación se realiza en pleno cumplimiento de los principios fundamentales del GDPR.

El consentimiento que se recopila con su formulario debe ser «informado». Por lo tanto, en el formulario de recopilación de datos, debe insertar el enlace a la información de privacidad del Sitio, el lugar donde el usuario puede «preguntar» y comprender bien con qué propósito está pidiendo sus datos, ya que irá a usarlos y mantenerlos , cuánto tiempo conservará.
En cumplimiento del principio de corrección y transparencia, la fórmula utilizada para solicitar el consentimiento debe ser comprensible, simple y clara. En otras palabras, el usuario debe comprender fácilmente lo que los está comunicando, sin tener que hacer ningún esfuerzo interpretativo.
Por lo general, se espera que se espera un cuadro especial del tipo «Yo consentir que el uso de mis datos personales de acuerdo con las disposiciones de la información de privacidad», completa con enlaces, para asegurarme de que el usuario acepte la información.

Para que el consentimiento se considere «informado» y «gratuito» debe manifestarse a través de una «declaración inequívoca o acción positiva», como puede ser una verificación manual en una casilla (la llamada «casilla de verificación»). Además, debe ser explícito (no tácito o presumido) y, por lo tanto, no se puede recolectar a través de cajas ya preestablecidas.

¿Qué datos personales se pueden utilizar en los formularios?

Muchas regiones tienen leyes y regulaciones sobre protección de datos y privacidad, incluido el CCPA en California y el PDPA en India. Cada sitio web disponible en la Unión Europea (UE) tiene que seguir el Reglamento General de Protección de Datos (GDPR), incluso si el sitio no se basa en la UE.

GDPR establece pautas para la recopilación y procesamiento de información personal de personas que viven en la UE. Se requiere consentimiento para procesar datos personales, los usuarios pueden solicitar información personal que almacene en cualquier momento y debe anunciar oficialmente fugas de datos. Algo bueno para el usuario, ya que esto ayuda a garantizar que se respeta su privacidad. Obtenga más información sobre GDPR.

Asegúrese de que sus usuarios sepan cómo planean procesar datos personales. La transparencia es la clave para la confianza. Los usuarios siempre deben poder acceder, modificar y eliminar todos los datos que guardó para ellos.

Facilite a los usuarios actualizar sus datos personales, incluidas las contraseñas, las direcciones de correo electrónico y los nombres de usuario. Notifique a los usuarios sobre los cambios en sus datos personales almacenados y garantice que los usuarios puedan revocar los cambios. Por ejemplo, envíe un correo electrónico a la dirección de correo electrónico anterior y nueva después de que los usuarios cambien su dirección de correo electrónico.

Facilite a los usuarios eliminar su cuenta, incluidos todos los datos asociados, y cuando sea relevante, haga posible descargar datos. La eliminación de la cuenta es un requisito legal en algunas regiones.

Requiere un paso de autenticación adicional, por ejemplo, que vuelva a ingresar la contraseña actual, para ver o cambiar información personal en su sitio.

¿Qué datos personales se pueden publicar?

Es legal publicar datos personales ordinarios y confidenciales en un artículo académico, una publicación académica o en una base de datos de investigación de acceso público si las personas en cuestión han dado un consentimiento informado y específico para usar sus datos personales en la publicación o base de datos de investigación en cuestión.

Es legal publicar un artículo académico u otra publicación académica que contenga datos personales ordinarios. Es una condición para la publicación de datos personales ordinarios en un artículo académico o publicación de que hacerlo es una parte necesaria de un proyecto que es de interés público. En otras palabras, debe ser necesario publicar los datos personales para transmitir los resultados del proyecto. Los datos personales deben publicarse en forma seudonimia, en la medida de lo posible.

Si el artículo o publicación académica contiene imágenes de individuos reconocibles, entonces las personas involucradas deben ser informadas de la publicación propuesta y tener el derecho de objetarla. Si un individuo se opone, la imagen no debe publicarse.

Del mismo modo, es legal publicar datos personales generales en bases de datos de accesibles públicamente, siempre que los datos sean seudonimitaran y que la publicación es una parte necesaria de un proyecto que es de interés público.

Como regla general, no es legal publicar datos de investigación sensibles e identificables personalmente en publicaciones académicas sin el consentimiento del individuo en cuestión.

Sin embargo, en algunas circunstancias, la Agencia Danesa de Protección de Datos puede otorgar permiso para datos de investigación sensibles e identificables personalmente que se publicarán en una revista académica reconocida. En la práctica, la Agencia Danesa de Protección de Datos ha otorgado permiso para divulgar datos personales para fines de publicación en revistas en la lista de BFI en el sitio web del Ministerio de Educación Superior y Ciencia en el Nivel 2 (alto nivel).

¿Qué datos personales se pueden compartir?

Hay una buena razón para que el intercambio tenga lugar (por ejemplo, cumplir con una obligación contractual o perseguir un proyecto de investigación).

A las personas cuyos datos personales están involucrados se han informado sobre el intercambio, ya sea en los avisos de privacidad generales suministrados a los solicitantes universitarios, estudiantes, personal y ex alumnos, o en una comunicación/aviso más específica.

Se ha considerado cómo compartir la cantidad mínima de datos personales necesarios para lograr el propósito.

Se ha considerado la duración de la disposición de intercambio y lo que sucederá al final.

Se ha considerado cómo compartir los datos personales de forma segura (por ejemplo, mediante entrega rastreada/firmada de entrega de correos o mensajería, transferencia de archivos cifrados o derechos de acceso controlados por contraseña).

Cuando la Universidad comparte datos personales con un tercero para fines conjuntos, las organizaciones se conocen como «controladores de datos conjuntos» (artículo 26 del GDPR del Reino Unido). El intercambio suele ser a largo plazo/en curso.

Tenga un acuerdo documentado (no necesariamente un contrato) que establezca roles y responsabilidades respectivas con respecto a los asuntos de protección de datos, incluido a quién las personas pueden contactar si desean quejarse o ejercer cualquiera de sus derechos bajo el GDPR del Reino Unido.

Sea transparente, haciendo que la esencia de este acuerdo esté disponible para las personas cuyos datos se compartan, si no se incluyen en el aviso de privacidad.

Los ejemplos de dicho intercambio de datos en la universidad son:

El intercambio de datos personales entre la universidad, las universidades y Cambridge en Estados Unidos, por ejemplo, en bases de datos CAMSIS o ex alumnos/desarrollo.

¿Cuál de los datos personales se puede compartir en redes sociales?

Los adolescentes comparten una amplia gama de información sobre ellos mismos en los sitios de redes sociales; De hecho, los sitios en sí están diseñados para fomentar el intercambio de información y la expansión de las redes. Sin embargo, pocos adolescentes adoptan un enfoque totalmente público para las redes sociales. En nuestra encuesta de 2012, preguntamos sobre diez categorías diferentes de información personal que los usuarios de las redes sociales adolescentes podrían publicar sobre el perfil que usan con más frecuencia y descubrieron que:

  • 92% publicar su nombre real
  • 91% publicar una foto de sí mismos
  • El 84% publica sus intereses, como películas, música o libros que les gusta
  • 82% después de su fecha de nacimiento
  • 71% después de su nombre de escuela
  • 71% después de la ciudad o ciudad donde viven
  • 62% después de su estado de relación
  • 53% publica su dirección de correo electrónico
  • 24% Publicar videos de ellos mismos
  • 20% publicar su número de teléfono celular

Desde 2006, el acto de compartir ciertos tipos de información personal en los perfiles de redes sociales19 se ha vuelto mucho más común. Para los cinco tipos diferentes de información personal que medimos en 2006 y 201220, cada uno era significativamente más probable por los usuarios de las redes sociales adolescentes en nuestra encuesta más reciente.

En términos generales, los adolescentes mayores (aquellos 14-17) tienen más probabilidades de compartir ciertos tipos de información en línea que los adolescentes más jóvenes, de 12 a 13 años. Los adolescentes mayores comparten con mayor frecuencia una foto de sí mismos, el nombre de su escuela, su estado de relación y su número de teléfono celular. Si bien los niños y niñas generalmente comparten información personal sobre los perfiles de redes sociales a las mismas tasas, los números de teléfono celular son la única excepción. Es significativamente más probable que los niños compartan sus números de teléfono celular que las niñas, una diferencia impulsada por los niños mayores. Varias diferencias entre los adolescentes blancos y afroamericanos que utilizan las redes sociales también son significativas, siendo la más notable la menor tendencia para que los adolescentes afroamericanos revelen sus nombres reales en un perfil de redes sociales.21

Muchos factores podrían estar influyendo en este aumento en el intercambio de información entre los adolescentes. Cambia de una plataforma a otra (por ejemplo, Myspace a Facebook), los cambios dramáticos en los dispositivos que los adolescentes usan para conectarse a sus redes, así como cambios casi constantes en las interfaces con las que se involucran los adolescentes han tenido alguna influencia en la probabilidad de que los adolescentes Publicará ciertos tipos de información en su perfil. El panorama tecnológico ha cambiado radicalmente en los últimos seis años, y muchas de estas prácticas de intercambio de información se asignan a la evolución de las plataformas que usan los adolescentes. Se requieren ciertas piezas de información al registrarse, mientras que otras se solicitan activamente a través del diseño de la interfaz. Al mismo tiempo, los adultos en la vida de los adolescentes también han tenido mucho más probabilidades de ser usuarios de redes sociales, normalizando aún más muchos de estos comportamientos compartidos.

Lo que sigue a continuación es un análisis más detallado de quién comparte qué información en los sitios de redes sociales.

¿Cuáles son los datos de carácter personal protegidos?

Datos personales de la Compañía significa cualquier datos personales procesados ​​por un procesador contratado en nombre de la Compañía de conformidad o en relación con el Acuerdo Principal;

Datos personales significa cualquier información relacionada con una persona natural identificada o identificable («Asunto de datos»); Una persona natural identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o a uno o más factores específicos de lo físico, fisiológico, identidad genética, mental, económica, cultural o social de esa persona natural;

Datos personales del cliente significa cualquier datos personales proporcionados por usted, o en su nombre, con el fin de brindarle nuestros servicios, de conformidad con nuestra carta de compromiso con usted;

Datos personales compartidos significa datos personales contenidos en los campos dentro de los datos de registro y que se procesan de acuerdo con los acuerdos aplicables.

Datos personales del cliente significa cualquier datos personales procesados ​​por el proveedor en nombre del Cliente en relación con este Acuerdo;

La información personal significa información identificable para cualquier persona, incluida, entre otros, la información que se relaciona con el nombre, la salud, las finanzas, la educación, el negocio, el uso de una persona, los servicios gubernamentales u otras actividades, direcciones, números de teléfono, números de seguro social , Números de licencia de conducir, otros números de identificación y cualquier identificador financiero.

¿Cuáles son los datos de carácter personal?

Todos los datos relacionados con una persona identificada o identificable son datos personales.

En otras palabras, los datos que pueden usarse para identificar a una persona directa o indirectamente, como combinar un elemento de datos individual con otros datos que permiten la identificación, son datos personales. Las personas pueden ser identificadas por su nombre, código de identidad personal o algún otro factor específico.

El cumplimiento de los requisitos del Reglamento General de Protección de Datos (GDPR) se requiere al procesar datos personales. El GDPR protege los datos personales independientemente de la tecnología utilizada para procesarlos. Tampoco es importante el método de almacenamiento de los datos: se pueden almacenar en un sistema de TI, un sistema de videovigilancia o un archivo de papel.

Con respecto a la aplicabilidad de las regulaciones de protección de datos, también es irrelevante si el procesamiento de datos personales ha sido centralizado en una ubicación o dispersado en varias ubicaciones, sistemas o procesadores. La consideración esencial es que los datos relacionados con un individuo específico pueden obtenerse de los datos centralizados o dispersos establecidos por ciertos criterios, como el nombre o el código de identidad personal. En otras palabras, si su propósito de uso es el mismo, los datos pertenecen al mismo archivo de datos lógicos, incluso si se recopilan de diferentes fuentes, almacenados en diferentes ubicaciones o procesados ​​por diferentes partes.

Durante el tiempo que los datos se puedan utilizar para identificar a las personas directamente o restaurarse a un formato identificable, constituyen datos personales y están sujetos al GDPR.

¿Qué son datos de carácter personal según el RGPD?

Una vez que se entienden y clasifican estos diferentes tipos de datos, es hora de abordar cómo procesar información confidencial de manera compatible bajo el GDPR. El procesamiento de datos personales confidenciales solo es legal si satisface al menos una de las siguientes condiciones:

  • Consentimiento explícito de los sujetos de datos
  • Necesario para llevar a cabo las obligaciones bajo la ley de empleo, seguridad social o protección social, o un acuerdo colectivo
  • Necesario para proteger los intereses vitales de un sujeto de datos que es física o legalmente incapaz de dar consentimiento
  • Procesamiento realizado por un organismo sin fines de lucro con un objetivo político, filosófico, religioso o sindical siempre que el procesamiento se relacione solo con miembros o antiguos miembros (o aquellos que tienen contacto regular con él en relación con esos fines) y se les proporciona allí. no hay divulgación a un tercero sin consentimiento
  • Datos manifiestamente hechos públicos por el sujeto de datos
  • Necesario para el establecimiento, ejercicio o defensa de reclamos legales o donde los tribunales actúan en su capacidad judicial
  • Necesario por razones de interés público sustancial sobre la base de la ley de la Unión o Estado miembro que es proporcional al objetivo que
  • Necesario para los propósitos de la medicina preventiva u ocupacional, para evaluar la capacidad de trabajo del empleado, el diagnóstico médico, la provisión de salud o atención social o tratamiento o gestión de sistemas y servicios de salud o asistencia social sobre la base de la ley sindical o estatal miembro. o un contrato con un profesional de la salud
  • Necesario por razones de interés público en el área de la salud pública, como proteger contra las serias amenazas transfronterizas para la salud o garantizar altos estándares de atención médica y de medicamentos o dispositivos médicos.
  • Necesarios para fines de archivo en el interés público, o fines de investigación científicos e históricos o fines estadísticos de acuerdo con el artículo 89 (1): esta es una nueva condición bajo el GDPR y establece que los datos confidenciales pueden procesarse con fines de archivo, investigación y estadísticas

El cumplimiento de GDPR a menudo se etiqueta como difícil de lograr, con el 36% de las empresas que afirman que los requisitos de GDPR son demasiado complejos para implementar, especialmente cuando se trata de procesar datos personales confidenciales. Solo comprender cómo procesar datos personales confidenciales bajo la legislación es suficiente para hacer girar la cabeza. Pero la buena noticia es que no tiene que ser tan difícil.

Con Enterprise Recon By Ground Labs, el cumplimiento de GDPR se puede lograr fácilmente, ya que la solución galardonada puede identificar, monitorear y remediar más de 300 tipos diferentes de datos, incluidos datos personales confidenciales. Las organizaciones también pueden crear un inventario de datos confidenciales, defendiendo el requisito de GDPR para la vigilancia continua de datos al monitorearlo las 24 horas a través del tablero de Recon Enterprise.

Artículos Relacionados:

Más posts relacionados:

Formularios

Formularios para imprimir: ¡simplifique el trabajo administrativo!

By Reis Digital
Formularios

¿Cómo llenar un formulario en español? Las partes de un formulario

By Reis Digital

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *