BODET SOFTWARE...aportar pruebas de cumplimiento tanto si gestionan sus datos directamente como si...

BODET SOFTWARE

DOCUMENTO INFORMATIVO SOBRE LA APLICACIÓN

DEL RGPD

2

BODET SOFTWARE S. A. S. – Boulevard du Cormier – B. P. 40211 – 49302 CHOLET CEDEX – Tel.: +33(0)2 41 71 44 00 – Fax: +33 (0)2 41 71 44 04

Internet: www.bodet-software.com – Código APE: 6202A

CAPITAL SOCIAL: 6 000 000 € - N.º SIREN: 538 209 594 R.C.S. Angers

Referente al REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO del 27 de abril de 2016

ÍNDICE

INTRODUCCIÓN: ¿QUÉ ES EL RGDP? ................................................................................................................... 3

RESPONSABILIDADES RELATIVAS AL TRATAMIENTO DE DATOS PERSONALES ..................................................... 4

RESPUESTAS DE BODET SOFTWARE —ENCARGADO DEL TRATAMIENTO— PARA EL CUMPLIMIENTO DEL RGPD 5

Cumplimiento de la legislación y prácticas previas a la aplicación del RGPD .......................................................................... 5

Respuestas a los nuevos requisitos establecidos por el RGPD ................................................................................................ 6

ACCIONES EMPRENDIDAS POR BODET SOFTWARE ........................................................................................... 10

Un equipo específico ............................................................................................................................................................ 10

Medidas relativas a la empresa ............................................................................................................................................ 10

Medidas relativas al software .............................................................................................................................................. 11

Medidas relativas al alojamiento (Solución OnDemand) ...................................................................................................... 11

¿CÓMO PONERSE EN CONTACTO CON NOSOTROS? ......................................................................................... 12

http://www.bodet-software.com/

3




INTRODUCCIÓN: ¿QUÉ ES EL RGDP?

El Reglamento general de protección de datos UE 2016/679 (RGPD, o GDPR en inglés) se aprobó en abril de

2016 y será de aplicación a partir del 25 de mayo de 2018. Sustituye a la directiva europea 95/46/CE, adoptada a

finales de 1995 y relativa a la protección de las personas físicas en lo que respeta al tratamiento de datos personales

y a la libre circulación de estos datos. El RGPD refuerza y unifica la protección de datos para los residentes en la Unión

Europea.

El RGPD completa la Ley de informática y libertades (78-17) del 6 de enero de 1978, la ley francesa que regula

la libertad de tratamiento de datos personales y enmarca los procedimientos informáticos en el ámbito de los derechos

humanos.

«La informática debe estar al servicio del ciudadano. Su desarrollo debe producirse en el marco de la

cooperación internacional. No debe atentar contra la identidad humana, los derechos humanos, la vida privada ni las

libertades individuales o públicas». »

El RGPD se aplica a toda organización, tenga o no su sede en la Unión Europea (UE), que trate datos de personas

físicas residentes en la Unión Europea. A modo de ejemplo, este reglamento protege los datos de RR. HH. de un

becario originario de un país que no pertenezca a la UE y que esté en periodo de prácticas en la Unión Europea.

El incumplimiento de las obligaciones en materia de protección de datos personales puede entrañar, además de

sanciones penales (multas o penas de prisión), la adopción, por parte de las autoridades competentes, de medidas

adaptadas a la infracción como amonestaciones, requerimientos, restricciones temporales o definitivas de tratamiento

o la obligación de satisfacer las peticiones personales para ejercer derechos (rectificación, limitación o eliminación de

datos). Las multas pueden ascender hasta el 4 % del volumen de negocios anual de la empresa en todo el mundo o

a 20 millones de euros.

El propósito de este documento es informar a los clientes de Bodet Software de sus nuevas obligaciones

relacionadas con el RGPD y ayudarlos a cumplir con los servicios ofrecidos por Bodet Software, como encargado del

tratamiento, en el uso de su software.


4




RESPONSABILIDADES RELATIVAS AL TRATAMIENTO DE DATOS PERSONALES

El RGPD define dos funciones distintas:

o El responsable del tratamiento / controller: persona física o jurídica que decide realizar un tratamiento y

define sus modalidades. Por ejemplo: un director de Recursos Humanos que decide hacer un seguimiento del

tiempo de presencia de los empleados usando el programa Kelio de Bodet Software.

o El encargado del tratamiento / processor: persona física o jurídica en la que el responsable delega la

realización del tratamiento definido. Ejemplo: Bodet Software se encarga del mantenimiento del programa

Kelio.

La responsabilidad del encargado para con el responsable del tratamiento se recoge en un contrato entre las dos

partes. Este contrato de compromiso mutuo permite evitar posturas extremas:

o Un responsable del tratamiento que intente trasladar toda su responsabilidad de regulación al encargado

o Un encargado que no asuma ninguna responsabilidad contractual

El contrato permite establecer una cadena de confianza y aclarar las funciones y responsabilidades de cada una

de las partes. Por ese motivo, Bodet Software propone a sus clientes cláusulas específicas relacionadas con el RGPD a

través de su inclusión en los contratos.

Dado que se ocupa del alojamiento o el mantenimiento de sus programas, Bodet Software desempeña la

función de encargado según se define en el RGPD. Esta delegación se efectúa en el marco de una relación contractual

por cuenta de sus clientes, que siguen siendo responsables de los tratamientos de datos efectuados y de su control.

Por tanto, los clientes —responsables del tratamiento— deben estar en disposición de recibir las garantías

necesarias y de controlar el tratamiento de sus datos a través de los procesos y soluciones proporcionados por Bodet

Software. A continuación, se recogen las respuestas que Bodet Software facilita a sus clientes para cumplir las

exigencias del RGPD. Se basan en elementos puestos en marcha tanto antes como después de la aprobación del

reglamento.

Responsable del tratamiento

Organización que contrata los servicios prestados por

Bodet Software

Encargado del tratamiento

Bodet Software

Acuerdo

Relación contractual


5




RESPUESTAS DE BODET SOFTWARE —ENCARGADO DEL TRATAMIENTO— PARA EL

CUMPLIMIENTO DEL RGPD

CUMPLIMIENTO DE LA LEGISLACIÓN Y PRÁCTICAS PREVIAS A LA APLICACIÓN DEL RGPD

Bodet Software, consciente del carácter sensible por naturaleza de los datos que se gestionan mediante sus

programas, siempre ha actuado con la máxima diligencia en cuanto a la aplicación de medidas de protección y buena

gestión de dichos datos. Bodet Software no se limita a respetar la legislación vigente, hace años que adopta una actitud

proactiva emprendiendo acciones en línea con las que ahora exige el RGPD.

o 1997: Certificación ISO 9001 de Bodet Software

o 1998: Puesta en marcha de un departamento de pruebas autónomo, independiente de los equipos de

diseño del software

o 2001: Instalación de los empleados de Bodet Software en instalaciones dedicadas, totalmente aseguradas

o 2004: Certificación ISO 14001

o 2012: Nombramiento de un ingeniero de calidad dedicado al diseño de software

o 2015: Servicio SaaS con un proveedor de alojamiento con certificado ISO 27001 / ISAE3402

o 2016: Nombramiento de un ingeniero de seguridad dedicado al diseño de software

o 2017: Última auditoría de seguridad informática llevada a cabo por especialistas independientes


6




RESPUESTAS A LOS NUEVOS REQUISITOS ESTABLECIDOS POR EL RGPD

El RGPD establece nuevos requisitos para los que Bodet Software ofrece respuestas adaptadas:

Requisito Precisiones sobre la responsabilidad

del responsable del tratamiento Respuestas de Bodet Software

como encargado

Responsabilidad

(accountability) y nombramiento de un

DPO

Las organizaciones son responsables de los datos de carácter personal que gestionan. El RGPD impone el deber de demostrar la buena gestión y la protección de los datos. Para ello, las organizaciones deben poner en marcha

o una política interna documentada de gestión de los datos

o 3 registros : actividades de tratamiento (art. 30.a), categorias de actividades (art. 30.b) y violaciónes

o una cartografía de los datos y un análisis de impacto, además de un plan de acciones (EIPD o PIA)

Las empresas están obligadas a aportar pruebas de cumplimiento tanto si gestionan sus datos directamente como si delegan el tratamiento a un encargado. Por lo tanto, son responsables del control de sus encargados de tratamiento (artículo 26) Para simplificar las estrategias de control y cumplimiento, las empresas deben designar un punto de contacto único o un DPO (data protection officer) (artículo 37). El DPO es un interlocutor especializado en la protección de datos de carácter personal, que se encarga de controlar que se respete el derecho a la vida privada y la correcta aplicación de las normas de protección de datos de carácter personal. También actúa como interlocutor privilegiado con todas las personas afectadas por cualquier recogida o tratamiento de datos de carácter personal y con las autoridades de control.

Nombramiento de un DPO (data protection officer) encargado de la gestión de los datos privados para Bodet Software e interlocutor único de sus clientes.

El DPO se ocupa de la puesta en marcha de un comité de control, de un sistema de gestión de los datos privados y del seguimiento de un plan de acciones específico en Bodet Software.

El nombramiento del DPO se declara ante la CNIL, la autoridad competente en Francia.

Responsabilidades conjuntas

Hasta ahora, el responsable del tratamiento era el único que asumía responsabilidades ante las autoridades competentes. Con los últimos cambios, los encargados del tratamiento comparten la responsabilidad y se deben ayuda mutua. El objetivo es crear una cadena de confianza en el tratamiento de los datos.

Los contratos y sus modificaciones entre Bodet Software y sus clientes incluyen a partir de ahora cláusulas específicas centradas en el respeto de los datos de carácter personal.


7




Medidas de seguridad por

defecto

(Privacy by default)

El responsable del tratamiento debe asegurarse de que los datos personales están protegidos y garantizar el máximo nivel de protección

Bodet Software ha puesto en marcha estas acciones de seguridad: - Política de seguridad del sistema de información - Edificios vigilados y protegidos con control de acceso - Servidores seguros y copia de seguridad de los datos - Sistema de información auditado regularmente

Bodet Software utiliza centros de alojamiento con un alto nivel de seguridad:

- certificaciones ISAE3402, ISO27001 - cortafuegos de alta seguridad, - copias de seguridad redundantes, - servidores de alta disponibilidad.

Bodet Software se compromete a hacer un seguimiento de los procesos seguros:

- auditorías de seguridad regulares realizadas por especialistas en seguridad independientes - cifrado de los datos transferidos (HTTPS, VPN) - protección mediante autentificación* - permisos restringidos por defecto - procedimientos de copia de seguridad de las bases de datos - conservación de los datos durante el plazo estipulado, con purgas automáticas preconfiguradas según las recomendaciones de la autoridad francesa competente (CNIL)

Un ingeniero de calidad y un ingeniero de seguridad dedicados, integrados en el equipo de diseño, que supervisan el cumplimiento de estas medidas.

Protección de los datos desde el diseño

(Privacy by design)

La protección de datos desde el diseño consiste en tener en cuenta, desde la creación o modificación de un tratamiento, los derechos y obligaciones relacionados con los datos de carácter personal, adoptando medidas proactivas y preventivas para evitar posibles incidentes. Este concepto precisa el derecho al consentimiento (opt-in), de rectificación, de olvido y de portabilidad de los datos.

Los empleados de Bodet Software están sensibilizados en materia de protección de datos.

Los desarrolladores de Bodet Software conocen los aspectos de seguridad y el código del software se revisa con herramientas de análisis automático para comprobar que se han respetado las buenas prácticas (OWASP, ANSSI).

Los campos de datos obligatorios del programa Kelio están


8




restringidos al mínimo necesario para el funcionamiento de cada tratamiento.

Derecho al olvido

(right to be forgotten)

Toda solicitud de supresión de datos personales es responsabilidad del responsable del tratamiento. Debe efectuarse de forma gratuita y en un plazo de 30 días.

Los administradores del software pueden eliminar todos o parte de los datos de una persona.

La eliminación de las huellas técnicas se realiza de forma progresiva o mediante una solicitud al departamento de atención al cliente de Bodet Software.

Derecho de consulta/rectificación

(right to consult/correct)

Portabilidad de los datos

(data portability)

Toda solicitud de consulta o rectificación de datos personales es responsabilidad del responsable del tratamiento. Una persona también debe poder recuperar, en un formato reutilizable, los datos que ha proporcionado y transferírselos a continuación a un tercero.

Se dará respuesta a la petición de forma gratuita en un plazo de 30 días.

Los administradores del software pueden modificar los parámetros de los derechos de acceso y rectificación mediante un módulo específico.

Los programas de Bodet Software incluyen soluciones integradas de traspaso y exportación de datos en formatos estándar (PDF, Excel, CSV), que permiten la restitución de la información. Los administradores del software tienen estas soluciones a su disposición.

Consentimiento

(opt-in)

Como responsable del tratamiento, el cliente debe asegurarse de contar con el consentimiento de sus empleados para el uso de sus datos personales.

Para evitar la introducción de datos opcionales sin el consentimiento de los implicados, la parametrización de los perfiles de usuario de Kelio permite prohibir esta opción.

Transferencia de datos fuera de la UE

El responsable del tratamiento de los datos debe garantizar el cumplimiento del RGPD en toda la cadena de tratamiento, incluso para las operaciones realizadas fuera de la UE, que requieren medidas adicionales (dispensas, declaraciones, normas corporativas vinculantes, consentimiento individual y expreso, etc.)

Bodet Software no transfiere los datos de sus clientes fuera de la Unión Europea.

Registros de tratamientos y

análisis de impacto

(Privacy impact assessment / PIA)

El responsable del tratamiento debe tener un registro de los tratamientos (art. 30.a) de datos de carácter personal que efectúa y debe mantenerlo actualizado. Se trata de una cartografía de los flujos de datos a la que debe asociar un análisis de impacto (privacy impact assessment o PIA) con el fin de evaluar los riesgos en materia de protección de datos y poner en marcha las acciones necesarias.

Bodet Software propone, para cada solución comercializada, un modelo de registro de los tratamientos. Los clientes pueden reutilizarlo, adaptarlo a sus procedimientos e integrarlo en el registro de tratamientos de su empresa.


9




Registro de las categorías de actividad de tratamiento

Toda empresa que trate datos de carácter personal debe mantener también actualizada la lista de sus socios de tratamiento con sus respectivos puntos de contacto único (art. 30.b)

El punto de contacto único RGPD de Bodet Software para la autoridad de control es [email protected]

Notificaciones

En caso de fuga de datos de carácter personal, el responsable del tratamiento debe informar lo antes posible (72 h) a su autoridad de control (la CNIL en el caso de Francia). También es obligatorio informar a las personas afectadas si este fallo de seguridad puede suponer un elevado riesgo para sus derechos y libertades.

Las posibles infracciones deben quedar plasmadas en un registro específico.

Si Bodet Software recibe aviso de algún fallo de seguridad referente a datos de carácter personal, la empresa se compromete a enviar una notificación al punto de contacto único o DPO del cliente en un plazo máximo de 48 horas a contar desde el momento en que haya tenido constancia del incidente.

*Contraseña y biometría

No almacenamos las contraseñas de los usuarios, sino únicamente una huella de la contraseña. Cuando se comprueba la

identificación, la huella se recalcula y se compara a la almacenada en la base. No es posible calcular la contraseña a partir de la

huella.

Los datos biométricos son de carácter personal y sensible. El software Kelio no almacena las huellas biométricas. Cuando se

produce un registro biométrico, se analiza la huella para extraer sus características y cifrarlas en un formato digital irreversible.

Este resultado sirve como referencia. Al efectuar una comprobación biométrica (por ejemplo, al fichar), la huella que se captura

se trata de la misma manera y el resultado se compara con el valor de referencia. La huella en sí no se almacenará ni extraerá,

independientemente de si utiliza un dispositivo centralizado en el servidor, un dispositivo en cada terminal o un dispositivo con

tarjeta protegida.


mailto:[email protected]


10




ACCIONES EMPRENDIDAS POR BODET SOFTWARE

El compromiso de Bodet Software se enmarca en una iniciativa de mejora continua en todo lo relativo a la

calidad, el medio ambiente, la seguridad y la protección de los datos de carácter personal y se traduce en distintas

acciones, entre las que se cuentan:

UN EQUIPO ESPECÍFICO

Bodet Software ha nombrado a un delegado de protección de datos (DPO) que ejerce sus funciones para la

empresa como editor de software, proveedor de una solución SaaS (Software as a Service), integrador de software y

proveedor de servicios de asistencia informática. El DPO ha creado un equipo específico encargado de supervisar el

cumplimiento de los requisitos especificados en el RGPD. Está formado por las siguientes personas:

Director general

Responsable de atención al cliente

Responsable de soluciones SaaS

Responsable de los sistemas de

información

Responsable de marketing y

comunicación

Responsable de la oficina de proyectos

informáticos

Delegado de protección de datos (DPO)

MEDIDAS RELATIVAS A LA EMPRESA

Certificaciones ISO9001 e ISO14001

Puesta en marcha y seguimiento de una

política de gestión de los datos de carácter

personal a través de un sistema de gestión

dedicado que busca un elevado nivel de

cumplimiento mediante la mejora continua de

los procesos.

Supervisión y protección de las instalaciones

frente a cualquier intrusión física y control de

acceso restringido a las zonas sensibles

Supervisión y protección del sistema

informático frente a cualquier intrusión digital

Política de seguridad del sistema de

información (actualizaciones, auditorías de

actividades, antivirus, anti-spam, política de

gestión de contraseñas)

Auditoría regular del sistema de información

realizada por especialistas independientes

Copia de seguridad de los datos de la empresa

Sensibilización del personal en materia de

seguridad y respeto de los datos personales

Recopilación en línea: redes protegidas

mediante dispositivos estándar (HTTPS,

cortafuegos, autenticación)

No hay transferencia de datos fuera de la UE

Auditorías de conformidad con el RGPD

realizadas por un organismo independiente e

inclusión de las observaciones facilitadas en la

política general de la empresa

Revisión de los contratos para incorporar el

cumplimiento del RGPD


11




MEDIDAS RELATIVAS AL SOFTWARE

Bodet Software diseña soluciones informáticas innovadoras y adaptadas desde hace más de 30 años. Sus programas

integran medidas de seguridad intrínsecas como:

Cifrado de las transferencias de datos (HTTPS,

VPN)

Sistema de autentificación nativo (con una

política específica de gestión de las

contraseñas) o conectado con sus directorios

(LDAP, SAML, CAS, …)

Duración limitada de las sesiones de clientes

con posibilidad de parametrización

Derechos de acceso restringidos por defecto

con posibilidad de parametrización

Soluciones de trazabilidad de las conexiones y

modificaciones de los datos técnicos (logs) y

funcionales

Plazos de conservación de los datos

adaptados a los distintos tratamientos y con

opción de personalización por parte de los

administradores

Aplicamos una política de sensibilización y mejora continua de la calidad y de la seguridad entre nuestro personal

de investigación y desarrollo. Esta política se refuerza mediante un ingeniero de calidad y un ingeniero de seguridad

específicos, además de con herramientas de integración continua y de análisis automático del código para garantizar

las mejores prácticas de seguridad (OWASP). Además, contamos con la intervención regular de especialistas en

seguridad independientes que auditan nuestros programas de software.

MEDIDAS RELATIVAS AL ALOJAMIENTO (SOLUCIÓN ONDEMAND)

Seleccionamos minuciosamente los centros de alojamiento que utilizamos. Nuestros centros de

alojamiento disponen de sistemas de seguridad certificados (ISO27001, ISAE3402) y se encuentran en

países considerados fiables para la protección de datos (como Francia o Suiza).

Los accesos a los servidores alojados están protegidos y filtrados (antivirus, antiespías, prevención de

intrusiones) y pueden filtrarse por IP entrante (restricción de IP de origen). Adoptamos todas las medidas

necesarias para garantizar la disponibilidad de nuestras soluciones de software (copia de seguridad y

restauración de los datos, redundancia de los centros datos)

Los datos se transfieren mediante protocolos seguros (HTTPS, VPN). Nuestros clientes pueden probar

nuestras soluciones en entornos reales y, en caso de finalización del contrato, se devuelven los datos a los

clientes antes de su destrucción.

Las operaciones relacionadas con las soluciones de software alojadas las realiza un equipo restringido y

específico.


12




¿CÓMO PONERSE EN CONTACTO CON NOSOTROS?

Si tiene cualquier pregunta o reclamación o desea hacer alguna recomendación o comentario para mejorar la

calidad de los servicios de Bodet Software, puede ponerse en contacto con nuestro departamento de atención al

cliente https://bsupport.bodet-software.com o con el DPO a través de la dirección de e-mail dpo@bodet-

software.com o mediante esta dirección postal:

BODET SOFTWARE S. A. S.

Boulevard du Cormier

CS 40211

49302 CHOLET CEDEX, FRANCIA


https://bsupport.bodet-software.com/



BODET SOFTWARE...aportar pruebas de cumplimiento tanto si gestionan sus datos directamente como si...

Documents

Transcript of BODET SOFTWARE...aportar pruebas de cumplimiento tanto si gestionan sus datos directamente como si...