Cómo Docebo LMS cumple con el GDPR

Escrito por
• 8 min read

¡GDPR está cerca! Aquí le presentamos como Docebo LMS cumple con esta regulación de protección de datos

La aplicación de las reglas de la Regulación General de Protección de Datos (GDPR) de la Unión Europea comienza el 25 de mayo de 2018. Si bien hay mucha información disponible sobre el GDPR, es importante que los usuarios de LMS sepan cómo sus actividades de aprendizaje podrían verse afectadas.

Simplemente hablando, si usted es un usuario de LMS y cualquiera de sus alumnos (empleados, socios y clientes) está ubicado en la UE, deberá asegurarse de que las actividades de recopilación y procesamiento de datos realizadas dentro de su LMS cumplan con la regulación , incluso si su organización no se basa allí. El incumplimiento viene con una gran etiqueta de precio, por lo que es mejor para usted asociarse con un proveedor de LMS que hace que el cumplimiento de GDPR sea fácil y efectivo.

Docebo es plenamente consciente de los requisitos y restricciones de GDPR y cumplirá totalmente con la normativa cuando entre en vigor el 25 de mayo. También implementamos los mecanismos necesarios para hacer que el cumplimiento de GDPR de nuestros usuarios sea lo más simple posible.

Cómo se definen los datos personales en GDPR

El propósito de GDPR es fortalecer los derechos de los ciudadanos de la UE con respecto a cómo se utilizan sus datos personales y cómo están protegidos. La legislación introduce requisitos sólidos que elevan y armonizan las normas de protección de datos, seguridad y cumplimiento en toda la UE.

Datos personales es toda información que se relaciona con una persona física identificada o identificable (sujeto de datos), como por ejemplo:

  • Nombre
  • Número de identificación
  • Datos de localización
  • Identificador en línea
  • Otros factores específicos (relacionados con la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona)

Controlador de datos vs Procesador de datos

  • El Controlador es la persona física o jurídica, autoridad pública, agencia u otro organismo, solo o en conjunto con otros, determina el propósito y los medios del procesamiento de datos personales.
  • El procesador es la persona física o jurídica, autoridad pública, agencia u otro organismo que procesa datos en nombre del controlador.

Los fines y los medios de procesamiento de cualquier dato personal relacionado con los usuarios finales de la plataforma de aprendizaje de Docebo son definidos por sus clientes, que son Controladores, y por lo tanto deben informar a sus usuarios finales de cualquier información que se vaya a recopilar y cómo se utilizará. .

En este caso, Docebo se consideraría un Procesador, ya que proporcionamos el uso de la plataforma de aprendizaje y un medio por el cual nuestros clientes pueden recopilar los datos de sus usuarios. Las actividades de procesamiento de datos de clientes de Docebo se rigen por el Anexo de Procesamiento de Datos de la compañía, que cumple con los requisitos de GDPR, Artículo 28.

Los controladores y procesadores también deben implementar medidas técnicas y organizativas (TOM) relevantes, que incluyen:

  • Seudonimización y encriptación de datos personales
  • Confidencialidad, integridad, disponibilidad y flexibilidad constantes de los sistemas y servicios de procesamiento
  • Restaure la disponibilidad y el acceso a los datos personales de manera oportuna en caso de incidente físico o técnico
  • Proceso para probar, evaluar y evaluar regularmente la efectividad de los TOM

Soluciones de portabilidad de datos y Herramientas de gestión

GDPR intensifica el estándar para las divulgaciones al obtener el consentimiento del usuario final, que debe ser "otorgado libremente, informado y sin ambigüedades".

Cualquier usuario de LMS que solicite el consentimiento del interesado debe usar un lenguaje claro y claro (Docebo le permite personalizar sus formularios de solicitud de datos) que es "claramente distinguible de otros asuntos". Como controlador de datos, debe probar que cualquiera de sus procesos de recopilación de datos Cumplir y seguir los procesos de GDPR en los casos en que se solicite a los interesados ​​que compartan su información personal para acceder a su LMS.

Aunque es primordial familiarizarse con las ventajas y desventajas de esta legislación de privacidad de datos sin precedentes, es muy importante comprender cómo los cambios también podrían afectar su sistema de gestión de aprendizaje.

Entre los muchos nuevos derechos para los sujetos de datos en GDPR, se aplicará lo siguiente a su LMS y usted debe conocerlos bien para garantizar su cumplimiento (y para evitar las multas importantes que conlleva el incumplimiento):

El derecho de acceso: los interesados ​​ahora tendrán derecho a acceder a cualquier dato personal y a conocer y verificar la legalidad del procesamiento de esos datos. Por ejemplo, si uno de sus alumnos ha estado tomando cursos con usted durante años y de repente quiere saber qué tipo de información tiene su LMS sobre ellos, debe proporcionar a ese alumno todos los datos que ha recopilado sobre ellos (como registros de capacitación o evaluaciones de rendimiento).

  • El derecho a la rectificación: le da a ese alumno acceso a sus datos recopilados si nota que algo es inexacto o incompleto. Por ejemplo, un alumno puede demostrar que ha completado un curso de aprendizaje electrónico requerido, pero ese logro no es reconocido por el LMS. Como recopilador de datos, debe darle a ese alumno la capacidad de rectificar los datos si se demuestra que son incorrectos. Si sus datos se han compartido con un tercero, también debe informarles que los datos deben actualizarse.
  • El derecho a ser olvidado: los sujetos de datos pueden eliminar o eliminar su información si se demuestra que no existe un motivo convincente para que una empresa continúe procesando esa información. Por ejemplo, si un alumno solicita que se eliminen sus datos porque ya no es útil para su propósito original, el recopilador debe obligar a que se eliminen o eliminen sus datos cuando no exista un motivo convincente para que una empresa continúe procesando esa información. Información.
  • El derecho a la portabilidad de datos: los interesados ​​pueden obtener y reutilizar sus datos personales para sus propios fines en diferentes servicios para mover, copiar o transferir datos personales de un entorno de TI a otro de manera segura, sin obstaculizar la usabilidad. Si un alumno desea volver a utilizar los datos que le han proporcionado en otro lugar, debe proporcionarlos. Debe proporcionarse en un formato estructurado y comúnmente utilizado y legible por máquina (como un archivo CSV) y puede exportarse directamente desde el LMS.
  • El derecho a oponerse: GDPR otorga a los usuarios de LMS el derecho a oponerse a que se utilicen los datos personales para el marketing directo, el perfilado o el procesamiento para investigación o estadísticas. Esto significa que debe brindarles a los usuarios de LMS un mecanismo para darse de baja de las comunicaciones de marketing cada vez que solicite sus datos personales. Ese derecho debe presentarse claramente la primera vez que se solicita a un usuario su información personal y se describe en su aviso de privacidad. Esto significa que deberá incluir menciones explícitas de cualquier otra razón para recopilar datos personales en su LMS.
  • El derecho a no estar sujeto a la toma de decisiones individualizada que dé lugar a decisiones que tengan efectos legales o significativos: se prohíbe cualquier actividad de procesamiento que sea totalmente automática y conduzca a decisiones que impactan a las personas de manera significativa a menos que tal procesamiento pueda justificarse en una de tres bases establecidas como excepciones en virtud del Artículo 22 (2), a saber: cumplimiento de un contrato, autorizado por la ley o consentimiento explícito. Por ejemplo: se requiere que uno de sus estudiantes mantenga actualizada cualquier capacitación de cumplimiento como requisito de su empleo en su empresa. Llega el momento de renovar su certificación de cumplimiento y su sistema reconoce que el alumno no ha completado esa capacitación y termina automáticamente el empleo de ese alumno. Bajo GDPR, el alumno podría cuestionar la decisión y solicitar la intervención humana, ya que la decisión puede tener implicaciones importantes para su vida.

El manejo de datos personales bajo GDPR

Bajo GDPR, un sujeto de datos es una persona identificada o identificable con quien se relacionan datos personales. El sujeto de los datos es la persona física identificada o identificable, es decir, el individuo con quien se relacionan los datos personales.

La adopción de tales medidas debe evaluarse y contextualizarse teniendo en cuenta el estado de la técnica, los costos de implementación y la naturaleza, alcance, contexto y propósitos del procesamiento, así como el riesgo de diversa probabilidad y severidad para los derechos y libertades de personas naturales.

El GDPR también presenta los conceptos de 'Privacidad por diseño' y 'Privacidad por defecto'.

  • La privacidad por diseño sostiene que las organizaciones deben considerar la privacidad en las etapas iniciales de diseño y durante todo el proceso de desarrollo de nuevos productos, procesos o servicios que implican el procesamiento de datos personales.
  • La privacidad por defecto significa que cuando un sistema o servicio incluye opciones para el individuo sobre la cantidad de datos personales que comparte con otros, la configuración predeterminada debería ser la más amigable con la privacidad.

Además, los controladores deben informar las infracciones de datos personales a la autoridad de supervisión pertinente dentro de las 72 horas. Si existe un alto riesgo para los derechos y libertades de los interesados, también deben notificar a los interesados.

Cómo Docebo LMS cumple con el GDPR

Docebo mantiene un sistema de gestión de la seguridad de la información ("ISMS"), que cuenta con la certificación ISO 27001.
Dentro de este marco, Docebo definió un programa integral de seguridad de la información, que incluye controles implementados de acuerdo con ISO 27001 y AICPA SOC 2, que asegura que Docebo, como proveedor de servicios, gestiona de forma segura los datos de sus clientes y que cualquier control de seguridad son efectivos para proteger los datos del usuario, proporcionando una cobertura adecuada del Artículo 32 de la GDPR.

Docebo brinda a sus usuarios la capacidad de cumplir  con el GDPR con:

  • Funcionalidades y herramientas LMS
  • Marco de cumplimiento
  • ISO 27001
  • AICPA SOC 2
  • Escudo de privacidad UE-EE. UU. Y Suiza-EE. UU.
  • Anexo de Protección de Datos

GDPR: en conlcusión

Es tan simple como esto: si usa Docebo y opera en la UE (o tiene alumnos en la región) tendrá las herramientas que necesita para cumplir con GDPR. Pero, si bien nuestra plataforma le brinda las herramientas que necesita para cumplir con los requisitos de GDPR, igual necesitará usar esas herramientas de manera adecuada para garantizar su propio cumplimiento y asegurarse de que sus prácticas se alineen con la regulación.

¿Tiene alguna pregunta? Nos comprometemos a asegurarnos de que nuestros clientes tengan las respuestas a cualquier pregunta que puedan tener sobre GDPR y su cumplimiento dentro de nuestro sistema de gestión de aprendizaje (LMS).

Descargo de responsabilidad: la información en esta página no es asesoramiento legal para que usted o su empresa utilicen para cumplir con las leyes de privacidad de datos de la UE como el GDPR. El contenido de esta página está destinado sólo con fines educativos y para proporcionarle información general que lo ayudará a comprender mejor los esfuerzos de Docebo para cumplir con la regulación.
Si tiene alguna pregunta o duda de que podemos ayudarlo con el cumplimiento o cualquier otra inquietud relacionada con la privacidad, ¡no dude en comunicarse!