Reglamento General de Protección de Datos (RGPD)
La guía de Odoo para las normas de protección de datos de Europa.
Vista general
Nuevas leyes de privacidad y buenas prácticas con Odoo
Desde el 25 de mayo de 2018, el Reglamento General de Protección de Datos (GDPR) entró en vigor e inició una nueva era en la protección de datos y la privacidad para todos. Es muy probable que hayas escuchado y leído mucha información acerca del RGPD, pero puede que sea difícil entender exactamente lo que significa para tu empresa en términos prácticos y qué debes hacer para cumplir con estas nuevas reglas.
En Odoo estamos comprometidos con seguir las mejores prácticas en términos de seguridad y privacidad. Nos esforzamos por proporcionar el mismo nivel de protección a todos los usuarios y clientes sin importar su ubicación o ciudadanía y las aplicamos a todos los datos, no solo a los personales.
Odoo S.A. y sus filiales cumplen con el RGPD.
Información importante sobre el RGPD
Consejo
Si tienes la posibilidad, lo mejor que puedes hacer para entender el RGPD es leer el texto oficial.
Es un poco largo (tiene 99 artículos, son más de 88 páginas), pero no es necesario que seas un experto en el tema para comprenderlo.
Es un reglamento de la Unión Europa, que tiene como objetivo armonizar y modernizar la legislación de privacidad existente, como la Directiva de Privacidad de Datos de la Unión Europea, a la cual reemplaza. Establece normas para la protección de las personas naturales en relación con el procesamiento de sus datos personales y el libre flujo de datos personales dentro de Europa.
Es un reglamento, no una directiva, por lo tanto, es aplicable inmediatamente en todos los estados miembros de la UE, sin necesidad de transposición en la ley nacional de cada país. Los países de la UE tienen un margen limitado de interpretación para los puntos más detallados, pero las reglas fundamentales serán las mismas para todos , en toda la Unión Europea.
El RGPD lleva a la legislación al siguiente nivel, pues toma en consideración las redes sociales, el almacenamiento en nube, los crímenes cibernéticos y los grandes desafíos que causan en términos de privacidad de datos y seguridad.
En resumen: ¡No te preocupes!
El RGPD no es una legislación nueva y es fundamentalmente algo positivo para los ciudadanos y las empresas.
¡Tiene ventajas!
En definitiva, el RGPD puede ser muy bueno para ti y tus clientes. Es probable que al principio cumplir con él conlleve mucho trabajo, pero estas nuevas reglas tienen varias ventajas:
- La confianza de tus clientes y usuarios aumenta.
- En todos los países de la UE aplican las mismas reglas, lo que simplifica las cosas.
- Tus procesos organizacionales estarán racionalizados y centralizados.
El propósito del RGPD es otorgarle a las personas más supervisión para sus datos personales. Si tu empresa pone en práctica las estrategias y sistemas adecuados, será más fácil de administrar y más seguro para el futuro.
¿Cuáles son los riesgos si no cumples?
La sanción máxima por no cumplimiento es una multa administrativa de 20 millones de euros o el 4% de su facturación anual global, lo que sea más elevado. Por infracciones menores se aplica un monto mínimo de 10 millones de euros o el 2% de su facturación anual global.
Estos máximos pretenden ser disuasivos para empresas de todos los tamaños, pero el RGPD requiere que las multas se mantengan proporcionadas.
Las autoridades de supervisión (también conocidas como Autoridades de Protección de Datos, DPAs por sus siglas en inglés) deben tener en cuenta las circunstancias de cada caso, incluyendo la naturaleza, gravedad y duración de la infracción. Estas DPAs también tienen la autoridad para investigar y aplicar acciones correctivas, las cuales incluyen la limitación de las actividades infractoras sin necesariamente imponer una multa.
Otro riesgo al que te enfrentas al no cumplir es perder la confianza de tus clientes y clientes potenciales, estas personas también se preocupan por la manera en que procesas sus datos.
Por último, numerosas DPAs han indicado que no impondrán multas en 2018 todavía, pero que esperan que las organizaciones demuestren que están trabajando para cumplir con las normativas .
Principios clave del RGPD
Alcance
El reglamento aplica a todo el tratamiento de datos personales en todas las empresas:
- Si la organización que controla o procesa se encuentra ubicada en la Unión Europea
- Si la organización no se encuentra ubicada en la Unión Europea, pero el procesamiento involucra datos personales de individuos localizados dentro de la Unión Europea, y está relacionada con ofertas comerciales o monitoreo de comportamientos.
Por lo tanto, el alcance incluye a las empresas que no son parte de la UE, lo que no era el caso con la legislación anterior.
Funciones
El reglamento distingue entre dos tipos principales de entidades:
- Responsable del tratamiento de lo datos: cualquier entidad que determina el propósito y los medios para procesar datos personales, de forma individual o conjunta. Como regla general, cada organización es la encargada de sus propios datos.
- Encargado del procesamiento de los datos: cualquier entidad que trate datos en nombre del responsable del tratamiento.
Por ejemplo, si tu empresa cuenta con una base de datos alojada en la nube de Odoo, entonces eres el controlador de esa base de datos y Odoo S.A. solo es el procesador de datos. Por otra parte, si utilizas Odoo de manera local, eres el controlador y el procesador de los datos.
Datos personales
El RGPD proporciona una definición amplia de los datos personales: cualquier información relacionada con una persona física, identificada o identificable. Una persona identificable es aquella que puede ser identificada, directa o indirectamente , sea por sus nombres, correos electrónicos, números de teléfono, información biométrica, datos de ubicación, información financiera, etc. También incluye identificadores en línea (direcciones IP, números de identificación de dispositivos, etc.).
Esto también aplica en contextos comerciales: info@odoo.com no se considera un dato personal, pero john.smith@odoo.com sí, porque se puede utilizar para identificar a una persona física dentro de una empresa.
El RGPD también exige un alto nivel de protección hacia los datos sensibles, los cuales incluyen categorías específicas de datos personales como salud, genética, aspectos raciales o información religiosa.
Principios del procesamiento de datos
Para cumplir, las actividades de procesamiento deben asegurarse de que siguen las siguientes reglas:
(según se enumeran en el Artículo 5 del RGPD)
-
Legalidad, equidad y transparencia: para recopilar datos, debes tener una base legal con un propósito claro, y deberás informar al sujeto al respecto.
- Ten una política de privacidad simple y clara, y haz referencia a ella en todos los lugares donde recolectes datos.
- Verifica las bases legales para cada actividad que procese datos.
-
Limitaciones de propósito: una vez que se recolecta por un propósito, debes pedir un permiso si quieres usarlo para otro diferente.
por ejemplo. - No puedes decidir vender los datos de tus clientes si no fueron recolectados para ese propósito.
-
Minimización: deberás recolectar solamente los datos necesarios para el propósito que has definido.
-
Exactitud: se tomarán las medidas necesarias para asegurarnos de que los datos se mantienen actualizados
por ejemplo, - Asegúrate de ocuparte de correos rebotados y de corregir o eliminar las direcciones.
-
Limitaciones de almacenamiento: los datos personales solo deben guardarse por el tiempo necesario para cumplir con su propósito principal.
Define periodos límites para eliminar o revisar los datos personales que hayas procesado, dependiendo de su propósito.
-
Integridad y Confidencialidad: los encargados del tratamiento de datos deben implementar medidas de control de acceso, seguridad y prevención de pérdida de datos adecuadas, de acuerdo con los tipos y alcances de los datos que se están procesando.
por ejemplo, - Asegúrate de que tu sistema de respaldo este funcionando bien, que tenga los controles adecuados de seguridad en su lugar, que use el encriptamiento para proteger datos sensibles como contraseñas;
-
Responsabilidad: los responsables del tratamiento deben cumplir todos los principios del tratamiento que se describieron antes.
- Define y mantenga una referencia de mapeo de datos para tu organización, en la que describas el cumplimiento de las actividades de procesamiento.
- Avisa a tus clientes a través de una política de privacidad clara
Fundamentos legales
Para actuar legalmente bajo el RGPD (primer principio), el procesamiento de datos personales debe estar basado en uno de los seis posibles fundamentos legales, según lo establecido en el artículo 6 (1):
- Consentimiento. Válido cuando el interesado ha proporcionado de manera explícita y libre su consentimiento, después de haber sido informado adecuadamente, lo que incluye conocer de manera clara y específica el propósito. La obligación de demostrar la veracidad de los hechos recae en el responsable del tratamiento de los datos.
- Necesario para la ejecución de un contrato, o para cumplir con las peticiones de parte del interesado, en la preparación de un contrato.
- Cumplimiento con la obligación legal que se le impone al responsable del tratamiento.
- Proteger un interes vital. Cuando el procesamiento es necesario para salvar una vida.
- Interés público o autoridad oficial.
- Interés legítimo. Aplicable cuando el responsable del tratamiento tiene un interés legítimo que no sea anulado por los intereses y derechos fundamentales del interesado.
Uno de los principales cambios introducidos por el RGDP con respecto a la regulación anterior de la privacidad de datos son los requisitos más estrictos para obtener consentimiento válido.
Derechos de los propietarios de los datos
El RGPD amplía los derechos existentes de la privacidad de datos para las personas. Las organizaciones deben estar preparadas para procesar las solicitudes de los propietarios de los datos de manera oportuna (en el plazo de 1 mes), de forma gratuita:
- Derecho de acceso - Las personas tienen derecho a saberqué y cómo se procesa su información personal con total transparencia;
- Derecho a rectificar - Las personas tienen derecho a corregir o completar sus datos personales;
- Derecho de eliminar - Las personas tienen derecho aeliminar su información personales por razones legítimas (consentimiento revocado, ya no es necesario para el propósito, etc.);
- Derecho a restingir - Las personas pueden solicitar que el controlador deje de procesarsus datos personales si no quieren o no pueden solicitar que se eliminen por completo.;
- Derecho a objetar - Las personas tiene derecho a objetar a ciertos procesamientos de sus datos personales en cualquier momento, por ejemplo, para propósitos de marketing directo;
- Portabilidad de datos -Los individuos tienen el derecho de solicitar que los datos personales que sean mantenidos por un responsable de datos puedan serles proporcionados a ellos, o a otro encargado.
¿Cómo debes prepararte ante el RGPD?
Aviso legal
No podemos proporcionar asesoramiento legal, esta sección solo es de carácter informativo. Consulta a un asesor legal para determinar exactamente cómo el RGPD afecta a tu empresa.
Estos son los pasos clave que sugerimos para un plan de cumplimiento del RGPD
-
Establece un mapeo de datos de las actividades de procesamiento de datos de tu organización para tener una imagen clara de la situation. Las autoridades deprotección de datos usualmente ofrecen plantillas para facilitar esta tarea. En cada proceso, registra el tipo de datos personales y la forma en que fueron recolectados; elpropósito, las bases legales y la política de eliminación del tratamiento; las medidas de seguridad técnicas y organizacionales implementadas, y los subcontractistas (procesadores) involucrados.
Debes continuar con el mapeo de datos de manera regular mientras tu proceso evoluciona. - Basándote en el paso 1, elije una estrategia de remediación para cualquier procesamiento en el que no tengas un fundamento jurídico (por ejemplo, falta de consentimiento) o no dispongas de las medidas de seguridad adecuadas. Adapta tus procesos, tus procedimientos internos, tus reglas de control de acceso, copias de seguridad, monitoreo, etc.
- Actualiza y publica una Política de privacidad clara en tu sitio web. Explica qué datos personales procesas, cómo lo haces y cuáles son los derechos de los que goza un individuo con respecto a sus datos.
- Revisa tus contratos con un asesor legal y adáptalos al RGDP.
- Decide cómo responderás a los diversos tipos de solicitudes de datos.
- Prepara tu Procedimiento de respuesta a incidentes en caso de filtración de datos.
Dependiendo de tu situación, la lista podría incluir otros elementos como el nombramiento de un delegado de protección de datos. Consulta a tus expertos internos de procesamiento y a tus asesores legales para determinar cualquier otra medida que sea relevante.
¡Recuerda!
Establecer un mapeo claro de tus procesos hara que todo sea más fácil en el camino hacia el éxito
De qué forma Odoo cumple con el RGPD
En Odoo, implementar las mejores prácticas de privacidad y seguridad no es una idea nueva. Como una empresa de alojamiento en la nube, revisamos y mejoramos nuestros sistemas, herramientas y procesos de forma constante, con la finalidad de mantener una plataforma excelente y segura.
Nuestras funciones en el RGDP
Nuestras responsabilidades con respecto a la protección de datos dependen de varias de nuestras distintas actividades de procesamiento de datos:
Nuestros roles | Tratamiento de datos | Tipo de datos |
---|---|---|
Controlador de datos y procesador | En Odoo.com | Los datos personales que nos proporcionan nuestros clientes directos y potenciales, nuestros partners y todos los usuarios directos de Odoo.com (nombres, correos electrónicos, direcciones, contraseñas...) |
Procesador de datos |
En Odoo en la nube
(Odoo en línea, Odoo.sh y otros servicios de Odoo Enterprise) |
Cualquier dato personal almacenado en las bases de datos de nuestros clientes, alojado en Odoo en la nube o transferido a nosotros con la finalidad de utilizar alguno de nuestros servicios. El propietario de la base de datos es el controlador de datos. |
Ninguno | Local | Cualquiera de los datos ubicados en las bases de datos de Odoo alojados de forma local o en cualquier alojamiento que no operamos nosotros. |
Nuestros documentos del RGDP
Como somos un controlador de datos, actualizamos nuestra Política de Privacidad Política de privacidad para que cumpla con el RGPD. Nuestra política abarca de la manera más clara posible qué datos procesamos, por qué los procesamos, y cómo los procesamos. Además, en nuestra Política de seguridad explicamos las mejores prácticas de seguridad que implementamos en Odoo, tanto de forma técnica como organizacional, para garantizar que sus datos se procesen de manera que siempre estén seguros y protegidos.
Además, nuestras actividades como procesador de datos están sujetas a que usted acepte el Contrato de suscripción a Odoo Enterprise.
Actualizamos este acuerdo para que contenga todas las cláusulas de protección de datos (también conocidas como “Acuerdo de procesamiento de datos”)
que el RGPD requiere.
Como es cliente de Odoo S.A. usted no tiene que hacer nada para aceptar estos cambios, pues ya obtiene los beneficios de las nuevas garantías.
Si no se comunica con nosotros, consideraremos que acepta este acuerdo.
Además de estos documentos, también hemos actualizado nuestro sitio web para insertar avisos de privacidad en todos los lugares relevantes, con el fin de mantener informados a nuestros usuarios en todo momento.
De qué forma Odoo te ayuda a implementar las mejores prácticas del RGPD
Usar Odoo para gestionar tu empresa no es suficiente para cumplir con el RGPD, pues el reglamento aplica a toda tu empresa. Sin embargo, como Odoo centraliza tus datos, reduce la redundancia de datos e implementa permisos de acceso granular y controles de seguridad, puede ser muy útil para ayudarte a cumplir con el RGPD.
Aquí hay algunas maneras en que creemos que Odoo puede ayudarte en el contexto del RGPD, tanto para bases de datos de Odoo locales como las alojadas en la nube.
El derecho de acceso (Art. 15) y el derecho a la portabilidad de los datos (Art. 20)
- Odoo proporciona algunas herramientas para que el titular de los datos acceda y actualice su información personal en el modo de autoservicio:
- El portal del cliente permite que los usuarios busquen documentos contractuales como direcciones y contactos, facturas, cotizaciones, órdenes, actividades, tickets de soporte al cliente, compras, suscripciones, órdenes de entrega, pagos, además de mensajes y comunicaciones relacionadas con estos documentos.
- La página de listas de correo, le permite a los usuarios calificar y gestionar sus suscripciones (por ejemplo, para odoo.com: https://www.odoo.com/groups)
- El perfil del foro le permite a los usuarios de tu foro calificar todas sus actividades en un instánte.
- Si necesitas exportar todos los datos o comunicar información privada que no es accesible a través del portal, necesitarás realizar algunos pasos de forma manual.
Por lo general, puedes acceder a todos los documentos relevantes directamente desde la barra superior en el formulario de contacto de los usuarios, donde están enlazados. Luego, puedes exportar toda la información con la función “Imprimir como PDF” de tu navegador, o con el menú Acción>Exportar desde la lista de contactos o la lista de sus documentos.
Ambas opciones proporcionan formatos electrónicos compatibles con el RGPD. - Además de eso, es posible que tengas información que no esté vinculada al formulario de contacto y que el titular de los datos haya proporcionado en un contexto diferente. Deberás revisar esa información también, buscando por nombre o dirección de correo electrónico, por ejemplo.
- Suscripciones a eventos
- Leads y oportunidades en tu CRM
Recordatorio: Además de poder exportar archivos PDF desde tu navegador, Odoo cuenta con una herramienta para exportar cualquier registro o lista de registros en formato CSL o Excel, así como los documentos relacionados que están vinculados a este registro. Para usarla, ve a la vista de lista de cualquier pantalla, selecciona los registros, haz clic en Acción > Exportar y elige "Exportar todos los datos". La herramienta te permitirá seleccionar los campos que desees exportar.
El derecho a la supresión (Art. 17)
El RGPD otorga a los titulares de los datos el derecho a solicitar la eliminación de sus información personal, bajo ciertas condiciones, tales como:
- Los datos ya no son necesarios de acuerdo al propósitopurpose;
- Se revoco el consentimiento para un proceso que estaba basado en solo con consentimiento ;
- De lo contrario, el proceso esilegal.
Si determinas que la solicitud es legítima y has confirmado la identidad del sujeto, puedes intentar eliminar el contacto correspondiente en Odoo. Es totalmente seguro: el sistema bloqueará la operación si un documento comercial todavía se refiere al contacto (factura, contacto, orden de entrega, publicación en el foro, etc.). En ese caso, debes decidir si tienes otras obligaciones de mantener estos documentos y debes rechazar la solicitud de eliminación.
Si no tienes una razón legal para mantener la información personal, pero no puedes o no quieres eliminar un documento o contacto, en este caso considera convertirlo en anónimo. Puedes cambiar el nombre del contacto y modificar sus datos reconocibles (correo electrónico, dirección, etc.), o puedes reasignar los documentos a un contacto genérico llamado anónimo. Una vez que quede debidamente anónima, esta información no será considerada datos personales.
El derecho a la limitación del tratamiento (Art. 18) y condiciones para el consentimiento (Art. 7)
Es común que los usuarios pidan anular su suscripción de los correos comerciales. Si tus correos se envian a través de Odoo, los usuarios lo pueden hacer ellos mismos utilizando el link de anular suscprición al pie de página. También lo puedes hacer manualmente al marcar el campo "descartar" en el contacto o en el lead/oportunidad. Los registros marcados como “descartado” se excluyen automáticamente de las campañas por correo electrónico masivas, pero aún pueden recibir mensajes directos de los usuarios (por ejemplo, presupuestos, facturas).
El derecho de rectificación (Art. 16) y la exactitud de los datos (Art. 5 (1) d)
Una de las fuentes comunes de errores de datos son las direcciones de correo electrónico inválidas o que cambian con frecuencia. Si la integración de correo electrónico está configurada de forma correcta (de forma predeterminada en Odoo en la nube), Odoo se encarga de gestionar las devoluciones de tus envíos masivos y aumenta el campo Devolución al número de mensajes devueltos. Puedes revisar periódicamente tus contactos o clientes potenciales con la búsqueda personalizada con el criterio "Devolución mayor que 30" y limpiarlos o eliminarlos.
Los seguidores de los canales de Conversaciones de Odoo son dados de baja de manera automática después de 10 rechazos.
En cuanto a la rectificación, los usuarios y clientes también pueden corregir sus propios datos personales (nombre, correo electrónico, dirección) a través del portal de Odoo.
Consentimiento (Art. 7)
Cuando recopilas información personal a través de los mecanismos predeterminados de Odoo (por ejemplo, formularios de contacto, suscripciones a listas de correo, suscripciones a eventos), tienes que establecer un propósito y una base legal para procesarla. Esto depende en gran medida de cómo utilizaras esos datos.
Si el propósito es específico y evidente (por ejemplo, almacenar el registro de los participantes de un evento para mantenerlos informados sobre la duración del mismo; suscribir a alguien a la lista de correo que eligieron), no necesitas solicitar su consentimiento explícito (los datos personales son necesarios para un contrato- Art. 6 (1) b). Sin embargo, aun en estos casos debes dejar en claro el propósito al usuario y hacer referencia a tu página de política de privacidad donde proporcionas más información. Puedes utilizar el creador de sitios web de Odoo para editar los formularios y agregar la información requerida.
Sin embargo, si planeas usar los datos recopilados con otros fines deberás obtener el consentimiento explícito del usuario para cada propósito. Te recomendamos que incluyas casillas en tu formulario para obtener el consentimiento específico para cada propósito (por ejemplo, "Quiero recibir descuentos y promociones para productos similares por correo electrónico"). Para hacer esto con Odoo, puedes:
- Utilizar la aplicación Studio de Odoo para agregar un campo de casilla (tipo booleano) en el documento que utilizarás para recopilar los datos personales (por ejemplo, Leads/Oportunidades), este representará el consentimiento para este propósito.
- Agregar una casilla de verificación al formulario de tu sitio web con el creador de sitios web de Odoo.
- Utilizar este campo al procesar datos para este propósito. Por ejemplo, en tus filtros de segmento en tus campañas de marketing.
Privacidad desde el diseño (Art. 25)
El diseño inherentemente seguro está al centro de nuestro trabajo de R&D en Odoo y aplicamos las mejores prácticas de seguridad para hacer nuestro software Seguro, robusto y resistente para todos.
Control de acceso - gracias al mecanismo de control de acceso según grupos de Odoo podrás restringir el acceso que tenga un usuario a los datos personales según los datos que necesite el usuario; por ejemplo, un gestor de proyecto no necesita tener acceso a los candidatos para un puesto de trabajo. Si le das mantenimiento a los derechos de acceso de los grupos de usuarios, tendrás un buen control de la privacidad. Puedes modificar los grupos de usuarios y adaptarlos a tus necesidades sin dificultades.
Reglas de registro - Para ajustar el acceso a datos personales, puedes utilizar el concepto de Reglas de registro las cuales te permiten restringir el acceso a ciertos documentos según cualquier criterio basado en valores de campo. Las reglas de registro pueden bloquear operaciones de lectura y edición, y funcionan con base en documentos previos. Para mas información, visite nuestra documentación .
Contraseñas - Odoo guarda las contraseñas de los usuarios con hashing seguro de éstandar industrial. También es posible usar los sistemas de autenticación externa como OAuth 2.0 o LDAP, para evitar que se almacenen las contraseñas de los usuarios.
Datos de los empleados - Es muy probable que dentro de la pestaña Información privada haya información sensible sobre los empleados y sus contratos. Solo el personal de recursos humanos (el grupo "encargado de RR. HH.") puede ver esta parte del directorio de empleados, ya que estas personas necesitan esa información para realizar su trabajo. Esta protección se extiende a la dirección personal de los empleados desde Odoo 12 hasta Odoo 17, se almacena dentro de los contactos de tipo "privado" a los que solo el personal de RR. HH puede acceder. A partir de la versión 17.0, se almacena directamente en el registro del empleado.
Seguridad del tratamiento (artículos 25 y 32)
Implementamos las mejores prácticas de seguridad y privacidad en todos los niveles de Odoo en línea y de Odoo.sh. Puedes obtener más información al respecto en nuestra Política de seguridad.
Usted es el responsable de seguir las mejores prácticas de seguridad si usa Odoo local. Para empezar, puede revisar nuestras recomendaciones de seguridad en nuestra documentación de despliegue.