Resumen

Nuevas leyes de privacidad y buenas prácticas con Odoo

Desde el 25 de mayo de 2018, el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) es, la apertura de una nueva era de protección de datos y privacidad para todos. Si bien es seguro que hayas escuchado o leído mucha información acerca del RGPD , puede ser difícil entender exactamente qué significa para tu negocio en términos prácticos, y qué debes hacer para cumplir con las nuevas normas.

En Odoo estamos comprometidos con seguir las mejores prácticas en términos de seguridad y privacidad, nos esforzamos por proporcionar el mismo nivel de protección a todos los usuarios y clientes, sin importar su ubicación o ciudadanía. Aplicamos esas mejores prácticas para todos los datos, no solo los personales.

Por lo que Odoo SA y sus filiales cumplen con el RGPD.

Información importante sobre el RGPD

Pista
Si te es posible, lo mejor que puede hacer para entender el RGPD es leer el texto oficial.
Aunque es un tanto largo (99 artículos y 88 páginas) es bastante entendible aunque no sea experto en el tema.

Es un reglamento de la Unión Europa, que tiene como objetivo armonizar y modernizar la legislación de privacidad existente, como la Directiva de Privacidad de Datos de la Unión Europea, a la cual reemplaza. Establece normas para la protección de las personas naturales en relación con el procesamiento de sus datos personales y el libre flujo de datos personales dentro de Europa.

Es un reglamento, no una directiva, por lo tanto, es aplicable inmediatamente en todos los estados miembros de la UE, sin necesidad de transposición en la ley nacional de cada país. Los países de la UE tienen un margen limitado de interpretación para los puntos más detallados, pero las reglas fundamentales serán las mismas para todos , en toda la Unión Europea.

El RGPD lleva a la legislación al siguiente nivel, pues toma en consideración las redes sociales, el almacenamiento en nube, los crímenes cibernéticos y los grandes desafíos que causan en términos de privacidad de datos y seguridad.

En resumen: ¡No te preocupes!

El RGPD no es una legislación nueva y es fundamentalmente algo positivo para los ciudadanos y las empresas.

¡Tiene ventajas!

Queremos enfatizar que el RGPD puede ser maravilloso para ti y tu clientes. Al principio, cumplir con el RGPD puede significar mucho trabajo, pero las nuevas normas tienen sus ventajas:

  • Incrementar la confianza por parte de tus clientes y usuarios
  • Simplificación: las mismas reglas se aplican en todos los países en la UE.
  • Racionalización y centralización de tus procesos organizativos

El propósito del RGPD es otorgarle a las personas más supervisión para sus datos personales. Si tu empresa pone en práctica las estrategias y sistemas adecuados, será más fácil de administrar y más seguro para el futuro.

¿Cuáles son los riesgos si no cumples?

La sanción máxima por no cumplimiento es una multa administrativa de 20 millones de euros o el 4% de su facturación anual global, lo que sea más elevado. Por infracciones menores se aplica un monto mínimo de 10 millones de euros o el 2% de su facturación anual global.

Estos máximos pretenden ser disuasivos para empresas de todos los tamaños, pero el RGPD requiere que las multas se mantengan proporcionadas.

Las autoridades de supervisión (también conocidas como Autoridades de Protección de Datos, DPAs por sus siglas en inglés) deben tener en cuenta las circunstancias de cada caso, incluyendo la naturaleza, gravedad y duración de la infracción. Estas DPAs también tienen la autoridad para investigar y aplicar acciones correctivas, las cuales incluyen la limitación de las actividades infractoras sin necesariamente imponer una multa.

Otro riesgo si no cumples es la pérdida de confianza de tus clientes y prospectos ¡pues se preocupan por la forma en que procesas sus datos!

Por último, numerosas DPAs han indicado que no impondrán multas en 2018 todavía, pero que esperan que las organizaciones demuestren que están trabajando para cumplir con las normativas .

Principios clave del RGPD

Alcance

Las normas aplican a cualquier procesamiento de datos personales en cualquier empresa:

  1. Si la organización que controla o procesa se encuentra ubicada en la Unión Europea
  2. Si la organización no se encuentra ubicada en la Unión Europea, pero el procesamiento involucra datos personales de individuos localizados dentro de la Unión Europea, y está relacionada con ofertas comerciales o monitoreo de comportamientos.

Por lo tanto, el alcance incluye a las empresas que no son parte de la UE, lo que no era el caso con la legislación anterior.

Funciones

La norma distingue entre dos tipos principales de entidades:

  • Responsable del tratamiento de lo datos: cualquier entidad que determina el propósito y los medios para procesar datos personales, de forma individual o conjunta. Como regla general, cada organización es la encargada de sus propios datos.
  • Encargado del procesamiento de los datos: cualquier entidad que trate datos en nombre del responsable del tratamiento.

Por ejemplo, si tu empresa posee una base de datos alojada en Odoo Cloud, entonces usted es el controlador de esa base de datos, y Odoo SA es solo un procesador de datos. Por otra parte, si usted utiliza Odoo de manera local, usted es tanto el controlador como el procesador de los datos.

Datos personales

El RGPD proporciona una definición amplia de los datos personales: cualquier información relacionada con una persona física, identificada o identificable. Una persona identificable es aquella que puede ser identificada, directa o indirectamente , sea por sus nombres, correos electrónicos, números de teléfono, información biométrica, datos de ubicación, información financiera, etc. También incluye identificadores en línea (direcciones IP, números de identificación de dispositivos, etc.).

Esto también aplica en contextos comerciales: info@odoo.com no se considera un dato personal, pero john.smith@odoo.com sí, porque se puede utilizar para identificar a una persona física dentro de una empresa.

El RGPD también exige un alto nivel de protección hacia los datos sensibles, los cuales incluyen categorías específicas de datos personales como salud, genética, aspectos raciales o información religiosa.

Principios del procesamiento de datos

Para cumplir, las actividades de procesamiento deben asegurarse de que siguen las siguientes reglas:
(según se enumeran en el Artículo 5 del RGPD)

  1. Legalidad, equidad y transparencia: para recopilar datos, debes tener una base legal con un propósito claro, y deberás informar al sujeto al respecto.

    • Ten una política de privacidad simple y clara, y haz referencia a ella en todos los lugares donde recolectes datos.
    • Verifica las bases legales para cada actividad que procese datos.

  2. Limitaciones de propósito: una vez que se recolecta por un propósito, debes pedir un permiso si quieres usarlo para otro diferente.

    por ejemplo. - No puedes decidir vender los datos de tus clientes si no fueron recolectados para ese propósito.

  3. Minimización: deberás recolectar solamente los datos necesarios para el propósito que has definido.

  4. Exactitud: se tomarán las medidas necesarias para asegurarnos de que los datos se mantienen actualizados

    por ejemplo, - Asegúrate de ocuparte de correos rebotados y de corregir o eliminar las direcciones.

  5. Limitaciones de almacenamiento: los datos personales solo deben guardarse por el tiempo necesario para cumplir con su propósito principal.

    Define periodos límites para eliminar o revisar los datos personales que hayas procesado, dependiendo de su propósito.

  6. Integridad y Confidencialidad: los encargados del tratamiento de datos deben implementar medidas de control de acceso, seguridad y prevención de pérdida de datos adecuadas, de acuerdo con los tipos y alcances de los datos que se están procesando.

    por ejemplo, - Asegúrate de que tu sistema de respaldo este funcionando bien, que tenga los controles adecuados de seguridad en su lugar, que use el encriptamiento para proteger datos sensibles como contraseñas;

  7. Responsabilidad: los responsables del tratamiento deben cumplir todos los principios del tratamiento que se describieron antes.

    • Define y mantenga una referencia de mapeo de datos para tu organización, en la que describas el cumplimiento de las actividades de procesamiento.
    • Avisa a tus clientes a través de una política de privacidad clara
Fundamentos legales

Para actuar legalmente bajo el RGPD (primer principio), el procesamiento de datos personales debe estar basado en uno de los seis posibles fundamentos legales, según lo establecido en el artículo 6 (1):

  1. Consentimiento. Válido cuando el interesado ha proporcionado de manera explícita y libre su consentimiento, después de haber sido informado adecuadamente, lo que incluye conocer de manera clara y específica el propósito. La obligación de demostrar la veracidad de los hechos recae en el responsable del tratamiento de los datos.
  2. Necesario para la ejecución de un contrato, o para cumplir con las peticiones de parte del interesado, en la preparación de un contrato.
  3. Cumplimiento con la obligación legal que se le impone al responsable del tratamiento.
  4. Proteger un interes vital. Cuando el procesamiento es necesario para salvar una vida.
  5. Interés público o autoridad oficial.
  6. Interés legítimo. Aplicable cuando el responsable del tratamiento tiene un interés legítimo que no sea anulado por los intereses y derechos fundamentales del interesado.

Uno de los principales cambios introducidos por el RGDP con respecto a la regulación anterior de la privacidad de datos son los requisitos más estrictos para obtener consentimiento válido.

Derechos de los propietarios de los datos

El RGPD amplía los derechos existentes de la privacidad de datos para las personas. Las organizaciones deben estar preparadas para procesar las solicitudes de los propietarios de los datos de manera oportuna (en el plazo de 1 mes), de forma gratuita:

  1. Derecho de acceso - Las personas tienen derecho a saberqué y cómo se procesa su información personal con total transparencia;
  2. Derecho a rectificar - Las personas tienen derecho a corregir o completar sus datos personales;
  3. Derecho de eliminar - Las personas tienen derecho aeliminar su información personales por razones legítimas (consentimiento revocado, ya no es necesario para el propósito, etc.);
  4. Derecho a restingir - Las personas pueden solicitar que el controlador deje de procesarsus datos personales si no quieren o no pueden solicitar que se eliminen por completo.;
  5. Derecho a objetar - Las personas tiene derecho a objetar a ciertos procesamientos de sus datos personales en cualquier momento, por ejemplo, para propósitos de marketing directo;
  6. Portabilidad de datos -Los individuos tienen el derecho de solicitar que los datos personales que sean mantenidos por un responsable de datos puedan serles proporcionados a ellos, o a otro encargado.

¿Cómo debes prepararte ante el RGPD?

Aviso legal
No podemos proporcionar asesoramiento legal, puesto que esta sección se ofrece solo con fines informativos. Por favor, consulta a su asesor legal para determinar exactamente cómo el RGPF afecta a tu empresa.

Estos son los pasos clave que sugerimos para un plan de cumplimiento del RGPD

  1. Establece un mapeo de datos de las actividades de procesamiento de datos de tu organización para tener una imagen clara de la situation. Las autoridades deprotección de datos usualmente ofrecen plantillas para facilitar esta tarea. En cada proceso, registra el tipo de datos personales y la forma en que fueron recolectados; elpropósito, las bases legales y la política de eliminación del tratamiento; las medidas de seguridad técnicas y organizacionales implementadas, y los subcontractistas (procesadores) involucrados.

    Debes continuar con el mapeo de datos de manera regular mientras tu proceso evoluciona.
  2. Basándote en el paso 1, elije una estrategia de remediación para cualquier procesamiento en el que no tengas un fundamento jurídico (por ejemplo, falta de consentimiento) o no dispongas de las medidas de seguridad adecuadas. Adapta tus procesos, tus procedimientos internos, tus reglas de control de acceso, copias de seguridad, monitoreo, etc.
  3. Actualiza y publica una Política de privacidad clara en tu sitio web. Explica qué datos personales procesas, cómo lo haces y cuáles son los derechos de los que goza un individuo con respecto a sus datos.
  4. Revisa tus Contratos con un abogado y adáptalos al RGDP
  5. Decide cómo responderás a los diversos tipos de solicitudes de datos.
  6. Prepara tu Procedimiento de respuesta a incidentes en caso de filtración de datos.

Dependindo de tu situación, otros elementos pueden agregarse a la lista, tales como el nombramiento de un agente de protección de datos. Consulta con los expertos de procesamiento, o tus asesores legales, para determinar otras medidas relevantes.

¡Recuerda!
Establecer un mapeo claro de tus procesos hara que todo sea más fácil en el camino hacia el éxito

De qué forma Odoo cumple con el RGPD

En Odoo, implementar las mejores prácticas de privacidad y seguridad no es una idea nueva. Como una empresa de alojamiento en la nube, revisamos y mejoramos nuestros sistemas, herramientas y procesos de forma constante, con la finalidad de mantener una plataforma excelente y segura.

Nuestras funciones en el RGDP

Nuestras responsabilidades con respecto a la protección de datos dependen de varias de nuestras distintas actividades de procesamiento de datos:

Nuestros roles Tratamiento de datos Tipo de datos
Controlador de datos y procesador En Odoo.com Los datos personales que nos proporcionan nuestros clientes directos y prospectos, nuestros partners y todos los usuarios directos de Odoo.com (nombres, correos electrónicos, direcciones, contraseñas...)
Procesador de datos En Odoo en la nube
(Odoo en línea, Odoo.sh y otros servicios de Odoo Enterprise) 		Cualquier dato personal almacenado en las bases de datos de nuestros clientes, alojado en Odoo en la nube o transferido a nosotros con la finalidad de utilizar alguno de nuestros servicios. El propietario de la base de datos es el controlador de datos.
Ninguno Local Cualquiera de los datos ubicados en las bases de datos de Odoo alojados de forma local o en cualquier alojamiento que no operamos nosotros.

Nuestros documentos del RGDP

Como somos un controlador de datos, actualizamos nuestra Política de Privacidad Política de privacidad para que cumpla con el RGPD. Nuestra política abarca de la manera más clara posible qué datos procesamos, por qué los procesamos, y cómo los procesamos. Además, en nuestra Política de seguridad  explicamos las mejores prácticas de seguridad que implementamos en Odoo, tanto de forma técnica como organizacional, para garantizar que sus datos se procesen de manera que siempre estén seguros y protegidos.

Además, nuestras actividades como procesador de datos están sujetas a que usted acepte el Acuerdo de suscripción a Odoo Enterprise. Actualizamos este acuerdo para que contenga todas las cláusulas de protección de datos (también conocidas como “Acuerdo de procesamiento de datos”) que el RGPD requiere.
Como es cliente de Odoo S.A. usted no tiene que hacer nada para aceptar estos cambios, pues ya obtiene los beneficios de las nuevas garantías. Si no se comunica con nosotros, consideraremos que acepta este acuerdo.

Además de estos documentos, también hemos actualizado nuestro sitio web para insertar avisos de privacidad en todos los lugares relevantes, con el fin de mantener informados a nuestros usuarios en todo momento.

De qué forma Odoo te ayuda a implementar las mejores prácticas del RGPD

Usar Odoo para gestionar tu negociono es suficiente para cumplir con el RGPD, porque las normas aplican a toda tu empresa. Sin embargo, puesto que Odoo centraliza tus datos, reduce la redundancia de datos e implementa derechos de acceso granular y controles de seguridad, puede ser genial para ayudarte a cumplir con el RGPD.

Aquí hay algunas maneras en que creemos que Odoo puede ayudarte en el contexto del RGPD, tanto para bases de datos de Odoo locales como las alojadas en la nube.

Aviso legal: como siempre, te recomendamos que consulte a su asesor legal para poder determinar cómo cumplir con el RGPD y las solicitudes del interesado. Ten en cuenta que en todo momento tú también puedes estar procesando datos personales fuera de Odoo.

El derecho de acceso (Art. 15) y el derecho a la portabilidad de los datos (Art. 20)

  • Odoo proporciona algunas herramientas para que el titular de los datos acceda y actualice su información personal en el modo de autoservicio:
    • El portal del cliente le permite a los usuarios buscar documentos contractuales: dirección y contactos, facturas, presupuestos, ordenes, actividdes, tickets del servicio de asistencia, compras, suscripciones, ordenes de envío, pagos, así como la comunicación en torno a estos documentos.
    • La página de listas de correo, le permite a los usuarios calificar y gestionar sus suscripciones (por ejemplo, para odoo.com: https://www.odoo.com/groups)
    • El perfil del foro le permite a los usuarios de tu foro calificar todas sus actividades en un instánte.
  • Si necesitas exportar todos los datos o comunicar información privada que no es accesible a través del portal, necesitarás realizar algunos pasos de forma manual.
    Por lo general, puedes acceder a todos los documentos relevantes directamente desde la barra superior en el formulario de contacto de los usuarios, donde están enlazados. Luego, puedes exportar toda la información con la función “Imprimir como PDF” de tu navegador, o con el menú Acción>Exportar desde la lista de contactos o la lista de sus documentos.
    Ambas opciones proporcionan formatos electrónicos compatibles con el RGPD.
  • Además de eso, es posible que tengas información que no esté vinculada al formulario de contacto y que el titular de los datos haya proporcionado en un contexto diferente. Deberás revisar esa información también, buscando por nombre o dirección de correo electrónico, por ejemplo.
    • Suscripciones a eventos:
    • Leads y oportunidaddes en tu CRM

Recordatorio: Además de poder exportar documentos como PDF desde tu navegador, Odoo tiene una herramienta para exportar cualquier documento, o lista de documentos, en un archivo CSL o Excel, así como los documentos relacionados que están vincluados a este documento. Para utilizarla, ve a la vista en lista de cualquier pantalla, selecciona el o los documentos y haz clic en Acción, luego Exportar y escoge "Exportar todos los datos". La herramienta te permite escoger los campos que quieras exportar.

El derecho a la supresión (Art. 17)

El RGPD otorga a los titulares de los datos el derecho a solicitar la eliminación de sus información personal, bajo ciertas condiciones, tales como:

  • Los datos ya no son necesarios de acuerdo al propósitopurpose;
  • Se revoco el consentimiento para un proceso que estaba basado en solo con consentimiento ;
  • De lo contrario, el proceso esilegal.

Si determinas que la solicitud es legítima y has confirmado la identidad del sujeto, puedes intentar eliminar el contacto correspondiente en Odoo. Es totalmente seguro: el sistema bloqueará la operación si un documento comercial todavía se refiere al contacto (factura, contacto, orden de entrega, publicación en el foro, etc.). En ese caso, debes decidir si tienes otras obligaciones de mantener estos documentos y debes rechazar la solicitud de eliminación.

Si no tienes una razón legal para mantener la información personal, pero no puedes o no quieres eliminar un documento o contacto, en este caso considera convertirlo en anónimo. Puedes cambiar el nombre del contacto y modificar sus datos reconocibles (correo electrónico, dirección, etc.), o puedes reasignar los documentos a un contacto genérico llamado anónimo. Una vez que quede debidamente anónima, esta información no será considerada datos personales.

El derecho a la limitación del tratamiento (Art. 18) y condiciones para el consentimiento (Art. 7)

Es común que los usuarios pidan anular su suscripción de los correos comerciales. Si tus correos se envian a través de Odoo, los usuarios lo pueden hacer ellos mismos utilizando el link de anular suscprición al pie de página. También lo puedes hacer manualmente al marcar el campo "descartar" en el contacto o en el lead/oportunidad. Los registros marcados como “descartado” se excluyen automáticamente de las campañas por correo electrónico masivas, pero aún pueden recibir mensajes directos de los usuarios (por ejemplo, presupuestos, facturas).

El derecho de rectificación (Art. 16) y la exactitud de los datos (Art. 5 (1) d)

Las direcciones de correo electrónico inválidas o en constante cambio son una fuente común de errores de datos. Cuando la integración de correo electrónico está configurada correctamente (por defecto en Odoo Cloud), Odoo maneja los rechazos de correo electrónico en sus correos masivos y aumenta el campo de Rebote con el número de mensajes rechazados. Puede revisar periódicamente sus contactos o prospectos con una búsqueda personalizada de "Rebote mayor que 0"y limpiar/borrar los registros.

Los seguidores de los canales de Conversaciones de Odoo son dados de baja de manera automática después de 10 rechazos.

En cuanto a la rectificación, los usuarios y clientes también pueden corregir sus propios datos personales (nombre, correo electrónico, dirección) a través del portal de Odoo.

Consentimiento (Art. 7)

Cuando recopilas información personal a través de los mecanismos predeterminados de Odoo (por ejemplo, formularios de contacto, suscripciones a listas de correo, suscripciones a eventos), tienes que establecer un propósito y una base legal para procesarla. Esto depende en gran medida de cómo utilizaras esos datos.

Si el propósito es específico y evidente (por ejemplo, almacenar el registro de los participantes de un evento para mantenerlos informados sobre la duración del mismo; suscribir a alguien a la lista de correo que eligieron), no necesitas solicitar su consentimiento explícito (los datos personales son necesarios para un contrato- Art. 6 (1) b). Sin embargo, aun en estos casos debes dejar en claro el propósito al usuario y hacer referencia a tu página de política de privacidad donde proporcionas más información. Puedes utilizar el creador de sitios web de Odoo para editar los formularios y agregar la información requerida.

Sin embargo, si planeas usar los datos recopilados para otros fines, necesitas obtener el consentimiento explícito del usuario para cada propósito. Lo recomendable es agregar casillas de verificación en tu formulario para obtener el consentimiento por cada propósito específico (por ejemplo: "Por favor envíame descuentos y promociones sobre productos similares por correo electrónico"). Para hacer esto con Odoo, puedes:

  1. Utiliza Odoo Studio para agregar un campo de casilla (un campo de tipo booleano) en el documento dónde se recopilan los datos personales (por ejemplo, Leads/Oportunidad) y representar el consentimiento dado para este propósito.
  2. Agrega una casilla de verificación en tu sitio web con el creador de sitios web de Odoo
  3. Utiliza este campo al momento de procesar datos para este propósito. Por ejemplo, en los segmentos de filtros de tus campañas de marketing.

Privacidad desde el diseño (Art. 25)

El diseño inherentemente seguro está al centro de nuestro trabajo de R&D en Odoo y aplicamos las mejores prácticas de seguridad para hacer nuestro software Seguro, robusto y resistente para todos.

Control de acceso - gracias al mecanismo de control de acceso según grupos de Odoo podrás restringir el acceso que tenga un usuario a los datos personales según los datos que necesite el usuario; por ejemplo, un gestor de proyecto no necesita tener acceso a los candidatos para un puesto de trabajo. Si le das mantenimiento a los derechos de acceso de los grupos de usuarios, tendrás un buen control de la privacidad. Puedes modificar los grupos de usuarios y adaptarlos a tus necesidades sin dificultades.

Reglas de registro - Para ajustar el acceso a datos personales, puedes utilizar el concepto de Reglas de registro las cuales te permiten restringir el acceso a ciertos documentos según cualquier criterio basado en valores de campo. Las reglas de registro pueden bloquear operaciones de lectura y edición, y funcionan con base en documentos previos. Para mas información, visite nuestra documentación .

Contraseñas - Odoo guarda las contraseñas de los usuarios con hashing seguro de éstandar industrial. También es posible usar los sistemas de autenticación externa como OAuth 2.0 o LDAP, para evitar que se almacenen las contraseñas de los usuarios.

Datos de los empleados - Es muy probable que dentro de la pestaña Información privada haya información sensible sobre los empleados y sus contratos. Solo el personal de recursos humanos (el grupo "encargado de RR. HH.") puede ver esta parte del directorio de empleados, ya que estas personas necesitan esa información para realizar su trabajo. Esta protección se extiende a la dirección personal de los empleados desde Odoo 12 hasta Odoo 17, se almacena dentro de los contactos de tipo "privado" a los que solo el personal de RR. HH puede acceder. A partir de la versión 17.0, se almacena directamente en el registro del empleado.

Seguridad del tratamiento (artículos 25 y 32)

Si usas los servicios de Odoo Online u Odoo.sh, implementamos las mejores prácticas de seguridad y privacidad en todos los niveles. Puedes obtener más información al respecto en nuestro Política de seguridad.
Usted es el responsable de seguir las mejores prácticas de seguridad si usa Odoo local. Para empezar, puede revisar nuestras recomendaciones de seguridad en nuestra documentación de despliegue.