RGPD - introducción
Ewida Standard permite llevar el registro relacionado con el RGPD, es decir, con las normas de protección de datos personales aplicables en una organización. En la práctica, esto significa organizar la información sobre los conjuntos de datos, las personas que tienen acceso a ellos, los permisos para tratar datos y los lugares donde esos datos se utilizan.
El programa Ewida Standard permite vincular esta información con el inventario ya existente de hardware, software y usuarios. Gracias a ello, el registro RGPD no funciona al margen del sistema, sino que pasa a formar parte de toda la estructura de datos de la empresa. Si prefiere una solución web para gestionar activos y datos en su organización en lugar de una aplicación de escritorio para Windows, consulte también Codenica ITSM + ITAM.
El RGPD como parte del inventario en Ewida Standard
Ewida Standard no es un registro sencillo basado únicamente en tablas. El programa funciona con objetos vinculados de forma relacional, como Conjunto, Usuario, Dispositivo, Software, Licencia y Consumible. Los mecanismos del RGPD se han incorporado directamente a esta estructura.
Gracias a ello, es posible llevar el registro no solo de los propios conjuntos de datos personales, sino también de su contexto técnico y organizativo. Los elementos más importantes de la gestión del RGPD en el programa son:
- conjuntos de datos personales,
- derechos de acceso a datos personales,
- permisos para tratar datos personales.
Vincular el RGPD con los objetos del inventario
La gestión del RGPD amplía sobre todo el objeto Software. Puede indicar qué programas contienen conjuntos de datos personales y qué tipo de conjuntos son. Como resultado, los datos personales no se registran al margen del entorno de trabajo, sino en relación con aplicaciones concretas.
Las vinculaciones también funcionan de forma más amplia. El software puede asignarse a un Conjunto informático, y un conjunto puede asignarse a un Usuario. Esta estructura permite determinar dónde se usan los datos, en qué ordenador se encuentran y quién es responsable de ese puesto de trabajo o utiliza el software vinculado.
En la práctica, esto facilita localizar los conjuntos de datos personales y ordenar la información sobre el acceso a ellos.
Registro de conjuntos de datos personales paso a paso
Ewida Standard incluye un único asistente que permite recorrer todo el proceso de registro de forma ordenada. En una sola ejecución se puede:
- indicar el software que contiene conjuntos de datos personales,
- crear y describir cualquier número de conjuntos de datos personales,
- añadir usuarios que tienen acceso a esos conjuntos,
- crear y asignar derechos de acceso,
- indicar usuarios cuyos datos están incluidos en los conjuntos,
- crear y asignar permisos para tratar datos personales.
Los derechos de acceso y los permisos de tratamiento pueden crearse tanto de forma individual como en grupo. Esto es importante porque en muchas organizaciones algunos derechos se aplican a personas concretas y otros a equipos o departamentos completos.
Seleccionar el software que contiene conjuntos de datos
En el primer paso, elegimos del inventario aquellas aplicaciones que contienen conjuntos de datos personales. Se añaden al proceso mediante el botón + situado junto a la lista de software.
Debe tener en cuenta que todas las aplicaciones seleccionadas en una sola ejecución del asistente compartirán los conjuntos de datos personales creados allí. Si distintos programas deben tener conjuntos de datos separados, el asistente debe ejecutarse por separado para cada uno de esos grupos.
Crear conjuntos de datos personales
En el siguiente paso, creamos los propios conjuntos de datos personales. Para el software seleccionado anteriormente puede crear cualquier número de conjuntos. Cada uno de ellos puede describirse mediante propiedades como:
- Nombre,
- Tipo,
- Categoría,
- Alcance,
- Protección técnica,
- Protección organizativa,
- Etiqueta,
- Descripción detallada.
Si para un mismo programa se crean distintos conjuntos de datos, los usuarios, sus derechos y los permisos se registrarán por separado para cada uno de esos conjuntos. Esto permite mantener el nivel adecuado de detalle sin mezclar distintas áreas de tratamiento de datos.
Usuarios que tienen acceso a los datos personales
Después de crear los conjuntos de datos, puede indicar los usuarios que tienen acceso a ellos. Algunas personas pueden identificarse automáticamente a partir de las relaciones ya existentes en el inventario. Esto se aplica, por ejemplo, a:
- un usuario asignado a un conjunto que contiene ese software,
- un usuario al que el software se ha asignado directamente,
- usuarios vinculados con el conjunto o el software mediante relaciones de uso.
Además, también puede añadir otras personas que tengan acceso al conjunto de datos seleccionado. Esto es importante porque el acceso real a los datos no siempre puede determinarse por completo solo a partir de las relaciones de hardware o software.
Derechos de acceso a datos personales
La siguiente etapa es registrar los derechos de acceso a los conjuntos de datos personales. Los derechos pueden ser:
- individuales,
- de grupo.
Si se selecciona un empleado, se crea un derecho individual. Si se seleccionan al menos dos empleados, el asistente lo reconocerá como un derecho de grupo. Un nuevo derecho se añade con el botón +.
Las propiedades que describen un derecho de acceso pueden incluir, entre otras cosas:
- el nombre del derecho,
- el tipo y la categoría del derecho,
- el acuerdo relacionado con el derecho,
- el alcance y la finalidad del tratamiento de datos personales,
- la fecha de la solicitud de acceso,
- la aprobación de la solicitud,
- la fecha de inicio del acceso,
- la fecha prevista de finalización del acceso,
- el Responsable del Tratamiento de los Datos Personales,
- información sobre la transferencia de datos fuera de la organización,
- un contratista externo como destinatario de los datos,
- observaciones.
En el mismo lugar también está disponible la impresión del Informe de derechos de acceso a datos personales y la opción de eliminar el derecho.
Usuarios cuyos datos están incluidos en los conjuntos
El asistente permite registrar no solo a las personas que tienen acceso a los datos, sino también a los usuarios cuyos datos personales están incluidos en los conjuntos. Esta es la segunda área importante del registro, porque permite separar a las personas que tratan los datos de aquellas cuyos datos están siendo tratados.
En el mismo lugar también puede crear permisos para tratar datos personales. Funcionan de forma similar a los derechos de acceso y también pueden ser individuales o de grupo. El programa puede indicar que un usuario seleccionado ya pertenece a un grupo cubierto por un permiso determinado, lo que facilita después mantener la coherencia de los datos.
Pestañas RGPD en las propiedades de los objetos
La gestión del RGPD en Ewida Standard no termina en el propio asistente. El programa también amplía las ventanas de propiedades de los objetos con pestañas RGPD adicionales para:
- Software,
- Conjunto informático,
- Usuario.
Gracias a ello, la información sobre datos personales está disponible directamente en el lugar donde se trabaja con un objeto concreto.
La pestaña RGPD del Software muestra, entre otras cosas:
- conjuntos de datos personales,
- el conjunto informático vinculado,
- una lista de empleados cuyos datos se están tratando con y sin permiso,
- una lista de empleados que tienen acceso al conjunto con y sin los derechos requeridos.
La pestaña RGPD del Conjunto informático funciona de forma similar, pero el punto de referencia es un conjunto concreto.
La pestaña RGPD del Usuario muestra en qué conjuntos aparecen los datos de una persona concreta y a qué conjuntos tiene acceso esa persona, distinguiendo entre situaciones correctamente documentadas y aquellas que todavía deben completarse.
Listados RGPD, informes y análisis personalizados
Ewida Standard también ofrece amplios listados relacionados con el RGPD. Incluyen, entre otras cosas:
- conjuntos de datos personales,
- derechos de acceso a los datos,
- permisos para tratar datos,
- listados de usuarios, software y conjuntos vinculados con conjuntos de datos personales,
- usuarios a los que les faltan los derechos o permisos requeridos.
El RGPD también se ha incorporado a los informes detallados de usuarios, software y conjuntos. Cada uno de esos informes puede incluir información sobre conjuntos de datos, derechos y permisos vinculados al objeto correspondiente.
Además, el mecanismo Mis listados permite crear sus propios análisis a partir de las columnas disponibles. Esto es importante en la práctica porque distintas empresas necesitan distintas vistas de los datos y distintos formatos de informes.
Otra función útil son los listados relacionados. Gracias al modelo de datos relacional, puede pasar rápidamente de un objeto seleccionado a los listados relacionados con él, incluidos los listados dedicados al RGPD.
Resumen
Ewida Standard permite mantener un registro de conjuntos de datos personales integrado con el inventario general de software, ordenadores y usuarios de la empresa. Gracias a ello, es posible no solo registrar el propio conjunto de datos, sino también controlar dónde se encuentran los datos, quién tiene acceso a ellos, quién está incluido en el tratamiento y si se han completado correctamente todos los derechos y permisos requeridos.
En la práctica, la solución incluye:
- un asistente para registrar conjuntos de datos personales,
- registro de derechos de acceso y permisos de tratamiento,
- pestañas RGPD en las ventanas de propiedades de los objetos,
- informes y listados dedicados al RGPD,
- análisis personalizados basados en el mecanismo de listados,
- control de fechas relacionadas con derechos y permisos.
Como resultado, el registro RGPD no es una herramienta separada y desconectada, sino parte del inventario general mantenido en la aplicación de escritorio para Windows Ewida Standard.