EL RGPD para los centros de formación que utilizan Digiforma


Presentación del RGPD

El Reglamento General de Protección de Datos (RGPD) es una normativa europea en vigor desde el 25 de mayo de 2018. Su implementación afecta a todas las empresas (pequeñas, medianas o grandes) que ejerzan su actividad en Europa, ya sean europeas o no.

El objetivo de la norma es reforzar los derechos de las personas afectadas por el tratamiento de sus datos personales y hacer que las empresas sean más responsables.


¿Qué son los datos personales?

Los datos personales son cualquier información relativa a una persona física identificable, directa o indirectamente. Puede incluir información como el nombre, la dirección, el número de teléfono, la dirección de correo electrónico, el número de la seguridad social, datos sanitarios, hábitos de consumo, historial de navegación por Internet, etc.

Los centros de formación recuperan y tratan con los datos personales de sus clientes, alumnos, profesores y terceros. Estos datos se utilizan para varias acciones, como:

  • Gestión de las inscripciones y de la asistencia a las sesiones
  • Facturación
  • Comunicación
  • Prospección
  • Evaluación de las sesiones de formación

Las bases del RGPD

Encontramos los principios relativos al tratamiento de datos personales en el artículo 5 del RGPD.

Son las bases del RGPD y deben ser respetados por cada responsable del tratamiento de datos personales, es decir, toda persona física o jurídica que determine los fines y la forma del tratamiento.

Los seis principios son los siguientes:

  • Licitud, lealtad y transparencia: los datos deben ser tratados de manera lícita, leal y transparente en relación con el interesado. Las personas deben ser informadas de la existencia del tratamiento y de sus fines, y de que deben haber dado su consentimiento o de que el tratamiento debe tener otra base jurídica.
  • Finalidad: los datos personales sólo pueden ser recogidos con fines determinados, explícitos y legítimos
    Minimización de datos: los datos personales recogidos deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados
  • Exactitud: los datos personales deben ser exactos y, si fuera necesario, actualizados.
  • Limitación del plazo de conservación: los datos personales no deben conservarse más tiempo del necesario para los fines del tratamiento de los datos personales
  • Integridad y confidencialidad: los datos personales deben tratarse de forma que se garantice su seguridad, confidencialidad e integridad.

El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo.


Cumplimiento del RGPD para un centro de formación

Aquí tienes una breve lista de los distintos puntos que debes tomar en cuenta para aplicar el RGPD en tu organización.


¿La RGPD afecta a un centro de formación?


Cumplir con el RGPD es un proceso interno a tu organización. No basta con “utilizar un software conforme al RGPD”. Tienes que establecer una política para la recogida y gestión de los datos personales de tus clientes y alumnos, que almacenas en distintos soportes y tratas.

Digiforma es uno de los soportes en los que almacenas estos datos, y por tanto es responsable de cumplir con el RGPD como subcontratista. Ofrecemos varias funciones que describimos a continuación para facilitarte la vida a este respecto. Centralizar los datos en un número mínimo de herramientas te facilitará la vida.

La mayoría de las tareas cotidianas realizadas por un centro de formación para la impartición operativa de cursos de formación no plantean ningún problema especial en cuanto al cumplimiento del RGPD. Tendrás que prestar atención a la seguridad, limitar la recogida de datos al necesario y durante un periodo limitado, y permitir que los clientes y alumnos soliciten la recuperación y destrucción de estos datos.

Además, tendrás que prestar atención al uso de los datos con fines comerciales. Si utilizas los datos que se te confían para la formación con otros fines, tendrás que comunicar claramente este tratamiento y obtener el consentimiento informado de las personas afectadas.


¿Cuál es tu responsabilidad y la de Digiforma?

Es importante tener en cuenta que tú, el centro de formación, eres el responsable del tratamiento y que Digiforma es un subcontratista de la actividad de tu centro de formación.


¿Cuáles son las obligaciones RGPD de una organización de formación?

Como responsable del tratamiento de datos, el centro de formación determina los fines y las formas del tratamiento de datos personales.

El responsable del tratamiento es responsable de cumplir con las normas del RGPD sobre el tratamiento de datos personales.

Deberá:

  • Obtener la aprobación de los interesados antes de recoger sus datos personales.
  • Informar a los interesados de cómo se recogen, utilizan y almacenan sus datos.
  • Garantizar la seguridad de los datos personales
  • Limitar los datos personales recogidos a lo necesario para los fines del tratamiento.
  • Eliminar los datos personales cuando ya no se necesitan.

El responsable del tratamiento puede designar a un encargado Digiforma, por ejemplo para que trate los datos personales en su nombre.
El encargado del tratamiento está sujeto a las mismas obligaciones de protección de datos que el responsable del tratamiento.

El responsable del tratamiento debe llevar un registro de los datos personales que trata.
Este registro debe indicar los fines del tratamiento, las categorías de datos personales de que se trata, los destinatarios de los datos, la duración de la conservación de los datos y las medidas de seguridad aplicadas.

El responsable del tratamiento también debe responder a las solicitudes de los interesados relativas a sus datos personales. En particular, debe proporcionarles una copia de sus datos personales, informarles de cómo se utilizan sus datos y responder a sus solicitudes de rectificación, supresión o limitación del tratamiento de sus datos.


¿Cómo se recogen los datos de los alumnos?

El RGPD (Reglamento General de Protección de Datos) es un reglamento de la Unión Europea que se adoptó el 27 de abril de 2016 y entró en vigor el 25 de mayo de 2018. El RGPD pretende reforzar y unificar la protección de los datos personales de las personas en la UE.

Se aplica el RGPD a los centros de formación siempre que recojan y traten datos personales de sus alumnos. Los datos personales son cualquier información relativa a una persona física identificable, como sus apellidos, nombre, dirección, número de teléfono, dirección de correo electrónico, etc.

Para cumplir el RGPD, los centros de formación deben cumplir una serie de obligaciones, como:

  • Obtener el consentimiento de los alumnos antes de recopilar y tratar con sus datos personales.
  • Informar a los alumnos de cómo se recogen, utilizan y almacenan sus datos personales.
  • Limitar la recogida y el tratamiento de datos personales a lo necesario para los fines para los que se recogen.
  • Garantizar la seguridad de los datos personales.
  • Eliminar los datos personales de los alumnos cuando ya no sean necesarios para los fines para los que se recogieron.

¿Tenemos que designar un responsable RGPD?

Es obligatorio que en tu centro de formación haya un responsable que se encargue de la aplicación de la política de protección de datos personales. Esta persona debe tener el puesto y competencias adecuadas.

El Delegado de Protección de Datos (DPD/DPO) será la persona encargada de la aplicación de las políticas de protección de datos personales y de asegurar la protección efectiva de estos datos personales en tu centro.
Esta designación es obligatoria para ciertas estructuras, como las entidades públicas, por ejemplo.

La designación de un DPD/DPO es muy importante para cualquier empresa, aún en ausencia de obligatoriedad legal. El DPD/DPO puede ser tanto interno como externo, debe tener el puesto y competencias adecuadas.


Los dos procedimientos a aplicar en tu centro de formación

Te aconsejamos poner en marcha dos procesos que te permitirán dar respuesta en caso de violación de datos y para el ejercicio de derechos de alumnos.

¿Cuál es el procedimiento en caso de violación de datos?

Los centros que traten datos personales (responsables del tratamiento o coresponsables) deben anticiparse para la puesta en marcha de procesos globales en materia de violación de datos personales.

Estos procedimientos deben aplicarse en todas las áreas: la aplicación de medidas destinadas a detectar inmediatamente una violación, a contenerla rápidamente, a analizar los riesgos resultantes del incidente y a determinar si es conveniente notificar a las autoridades de control o a las personas afectadas. Estos procedimientos participan en la documentación del cumplimiento del RGPD.

No todas las violaciones deben necesariamente ser notificadas a la autoridad de control o a las personas afectadas. En cambio, cuando sea necesario, esta información de los interesados debe ser la prioridad del responsable del tratamiento, ya que ello les permite adoptar medidas destinadas a protegerlos de dichos riesgos.

La obligación de notificar depende del riesgo que la violación de los datos personales supone para los derechos y libertades de las personas cuyos datos han sido afectados:

Si la violación no supone ningún riesgo para los derechos y libertades de las personas afectadas, el responsable del tratamiento:

  • Debe documentar, de manera interna en forma de registro, la violación que se ha producido;
  • No debe notificar esta violación ni a la AEPD (Agencia Española de Protección de Datos), que puede sin embargo controlar esta documentación de forma interna, ni a las personas afectadas.

Si la violación supone un riesgo para los derechos y libertades de las personas afectadas, el responsable del tratamiento:

  • Debe documentar, de manera interna en forma de registro, la violación que se ha producido;
  • Debe notificar la violación a la AEPD, en un plazo máximo de 72h.

Si la violación supone un riesgo elevado para los derechos y libertades de las personas afectadas, el responsable del tratamiento:

  • Debe documentar, de manera interna en forma de registro, la violación que se ha producido;
  • Debe notificar la violación a la AEPD, en un plazo máximo de 72h;
  • Debe comunicar la violación de datos personales a las personas afectadas lo más rápido posible.

 

¿Cuál es el procedimiento para solicitar el ejercicio de los derechos del RGPD de un alumno?

Un alumno, como cualquier persona afectada por el tratamiento de sus datos personales, se beneficia de derechos (de acceso, rectificación, reclamación a través de la AEPD y, bajo algunas condiciones, el derecho al olvido, limitación, oposición, retirada de consentimiento y oposición al tratamiento de sus datos con fines de marketing).

Para ejercer estos derechos, deberá presentarse una solicitud por escrito con la información necesaria (datos completos y copia del documento de identidad) por correo postal o correo electrónico.

El responsable del tratamiento dispondrá de un plazo de respuesta de un mes. Si por alguna razón no puede dar curso a una solicitud, deberá explicar al interesado por qué se ha rechazado su solicitud.


El RGPD integrado en Digiforma


El punto de contacto de la rgpd: el responsable de la protección de datos / dpo

Digiforma ha designado a xDPO como su Delegado de Protección de Datos (DPO), con quien puede ponerse en contacto si tiene alguna pregunta sobre el RGPD en rgpd@aworldforus.com.

Un Delegado de Protección de Datos (DPO) es una persona responsable de la protección de datos personales dentro de una organización. El RPD es responsable de garantizar que la organización cumple todas las leyes y reglamentos aplicables en materia de protección de datos.

El RPD tiene una serie de tareas, entre las que se incluyen:

  • Asesorar a la organización sobre las mejores prácticas en materia de protección de datos;
  • Supervisar la aplicación de las políticas y procedimientos de protección de datos;
  • Formar a los empleados en materia de protección de datos;
  • Responder a las peticiones de los interesados sobre sus datos personales;
  • Coordinarse con las autoridades de protección de datos (CNIL en Francia).

El RPD desempeña un papel importante en la protección de los datos personales de las personas. Al velar por que la organización cumpla todas las leyes y reglamentos aplicables, el RPD contribuye a garantizar que los datos personales se recopilen, utilicen y almacenen de forma segura y conforme a la ley.

La función del RPD se define en el Reglamento General de Protección de Datos (RGPD). El RGPD exige a todas las organizaciones que traten datos personales de personas físicas ubicadas en la Unión Europea que designen a un RPD si cumplen determinados criterios, especialmente si tratan datos a gran escala o datos sensibles.


Protección de datos en Digiforma

Contacto RGPD: el delegado de protección de datos/dpo

Digiforma ha designado al Gabinete xDPO como Delegado de Protección de Datos (DPO) con el que puedes ponerte en contacto si tienes alguna pregunta sobre el RGPD, a través de la dirección rgpd@aworldforus.com

Un delegado de protección de datos (DPO) es una persona que es responsable de la protección de datos personales dentro de una organización. El DPO es responsable de garantizar que la organización cumpla con todas las leyes y regulaciones de protección de datos aplicables.

El DPO debe realizar una serie de tareas, entre ellas:

  • Asesorar a la organización sobre las mejores prácticas en materia de protección de datos;
  • Supervisar la implementación de políticas y procedimientos de protección de datos;
  • Capacitar a los empleados sobre la protección de datos;
  • Responder a las solicitudes de los interesados sobre sus datos personales;
  • Coordinarse con las autoridades de protección de datos (la AEDP en Francia).

El DPO desempeña un papel importante en la protección de los datos personales de las personas. Al garantizar que la organización cumpla con todas las leyes y regulaciones aplicables, el DPO ayuda a garantizar que los datos personales se recopilen, utilicen y almacenen de manera segura y conforme a la ley.

El papel del DPO se define en el Reglamento General de Protección de Datos (RGPD). El RGPD exige que todas las organizaciones que procesan datos personales de personas en la Unión Europea designen un DPO si cumplen con ciertos criterios, en particular si procesan datos a gran escala o datos sensibles.


Datos personales tratados por Digiforma

Digiforma procesa dos tipos de datos personales sobre sus clientes:

Los datos de los usuarios

Son visibles y editables en tu cuenta Digiforma. Los datos requeridos en una cuenta de usuario son los legítimamente necesarios para el funcionamiento del servicio. Un usuario puede exportar sus datos desde su cuenta, y solicitar destruir su cuenta definitivamente poniéndose en contacto con nosotros en la dirección rgpd@aworldforus.com.

Datos de los alumnos

Digiforma pone a tu disposición diversos medios para almacenar datos sobre tus alumnos (campos personalizados, carga de archivos, notas). El único dato requerido por el software es el apellido. Los demás datos solo se recopilarán y almacenarán cuando sea necesario para tu actividad.

Si uno de tus alumnos te pide que exportar o destruir sus datos personales, tienes varias funcionalidades que se pueden utilizar en tu cuenta Digiforma.

Puedes exportar los datos personales de un alumno en formato Excel desde su ficha en el software.

Puedes anonimizar los datos personales de los alumnos desde su ficha en tu cuenta Digiforma. La anonimización ayuda a preservar el balance pedagógico y financiero y tu historial. El nombre del alumno se sustituirá por un código, y toda la información personal (nombre, dirección, etc.) se borrará definitivamente.


Aspectos técnicos sobre la protección de datos adoptados por Digiforma

Todos los intercambios de datos entre tu navegador y el servidor de Digiforma están encriptados mediante el protocolo SSL.

Sólo se puede acceder a los datos de tu cuenta con tu nombre de usuario y contraseña.

Los servidores de Digiforma están ubicados en Europa (Irlanda) en el centro de datos de AWS a través del proveedor de alojamiento de aplicaciones web Heroku. Este centro de datos cuenta con las certificaciones ISO 27001, SOC 1 y SOC 2/SSAE 16/ISAE 3402. Las bases de datos están continuamente protegidas mediante copias de seguridad físicas, y los datos encriptados en disco utilizando AES256.

Utilizamos soluciones en la nube para gestionar o comunicarnos con nuestros clientes. La lista de soluciones utilizadas figura en nuestra Política de Confidencialidad y Uso de Datos Personales.

Cuando utilizamos una solución que transfiere datos personales a EE.UU., nos aseguramos de que se han firmado Cláusulas Contractuales Tipo (CCT) o de que el proveedor de la solución es signatario del Marco de Privacidad de Datos adoptado por la Comisión Europea el 13 de julio de 2023.

Consulta los editores de soluciones que han firmado el Marco de Privacidad de Datos:
https://www.dataprivacyframework.gov/s/participantsearch

La decisión de adecuación validada por la Comisión Europea:
https://www.aepd.es/derechosydeberes/cumpletusdeberes/medidasdecumplimiento/transferenciasinternacionales


¿Dónde están los datos en Digiforma?

Los servidores de Digiforma están ubicados en Europa (Irlanda) en el centro de datos de AWS a través del proveedor de alojamiento de aplicaciones web Heroku.
.


¿Cumple con el RGPD?

Sí.
Todos los datos de Digiforma transferidos al centro de datos europeo están protegidos por varias medidas técnicas y organizativas.

La conformidad con el RGPD de nuestro proveedor de alojamiento AWS se describe aquí:
https://aws.amazon.com/fr/compliance/gdprcenter/

La conformidad con el RGPD de nuestro proveedor de alojamiento Heroku se describe aquí:
https://devcenter.heroku.com/articles/gdpr


¿Qué medidas técnicas se han implementado?

Todos los intercambios de datos entre tu navegador web y el servidor de Digiforma están encriptados mediante el protocolo SSL.

Sólo se puede acceder a los datos de tu cuenta con tu nombre de usuario y contraseña. Los datos se alojan en un centro de datos con certificación ISO 27001, SOC 1 y SOC 2/SSAE 16/ISAE 3402.

Descubre también las demás funciones esenciales para la formación profesional

Descubre la solución Digiforma

Todo el potencial de la tecnología digital para tu negocio