Compromiso con el RGPD
Introducción
El Reglamento General de Protección de Datos (RGPD) entró en vigor el 25 de mayo de 2018, proporcionando una actualización significativa de la ley que rige cómo se recogen y utilizan los datos personales, ampliando los derechos y el control de las personas físicas sobre cómo se tratan sus datos personales, al tiempo que impone mayores obligaciones a las organizaciones que tratan datos personales.
Esta declaración explica nuestro firme compromiso de cumplir con el RGPD y proporciona cierto contexto al tratamiento de datos personales por parte de iRhythm.
Nuestro compromiso
iRhythm se toma muy en serio la privacidad y la seguridad de los datos. Hemos mejorado y revisamos continuamente nuestro sólido programa de cumplimiento para adaptarlo mejor a los elementos exclusivos del RGPD. Nuestro equipo de proyecto interfuncional, que incluye expertos externos en seguridad y privacidad de datos, trabaja con el objetivo de garantizar el cumplimiento y la transparencia con nuestros clientes y pacientes.
Cumplimiento del RGPD
Como parte de nuestra preparación para el RGPD, realizamos un análisis detallado de todos los procesos empresariales en los que se recogen y utilizan datos personales. Hicimos un mapa de nuestros flujos de datos y realizamos un análisis de las deficiencias en función del cual estructuramos nuestro programa de cumplimiento. Los pasos clave que hemos dado como parte de este programa incluyen:
- Transparencia: Revisar y actualizar nuestros avisos de privacidad para médicos, pacientes, usuarios de nuestra página web y de nuestro portal ZioReports, así como comunicar información sobre nuestro tratamiento lícito para cumplir con nuestras obligaciones de notificación del RGPD.
- Registro del tratamiento: Documentación de nuestros registros de tratamiento de datos personales y determinación y registro de las bases lícitas apropiadas para cada uno de los fines del tratamiento. Se trata de un registro vivo que mantenemos bajo revisión.
- Derechos de los interesados: Actualización de los avisos mejorados de derechos a las personas e implantación de políticas y procesos nuevos y modificados para prever, gestionar y responder al ejercicio de los derechos de los interesados.
- Seguridad: Los datos personales y de los pacientes se codifican en tránsito y en reposo. La política de codificación de iRhythm cumple o supera todas las normas comerciales y gubernamentales generalmente aceptadas.
- Respuesta a incidentes: Revisión y mejora de nuestros procedimientos existentes de respuesta a incidentes para identificar, investigar, contener y realizar todos los informes necesarios dentro de los plazos requeridos por el RGPD.
- Evaluaciones de impacto de protección de datos (EIPD): iRhythm ha implementado un procedimiento de EIPD y llevará a cabo EIPD cuando nuestro tratamiento de datos personales pueda dar lugar a un alto nivel de riesgo. Hemos implantado procesos para registrar cada evaluación y, en su caso, registrar y gestionar las medidas para reducir el nivel de riesgo.
- Privacidad desde el diseño y por defecto:Desarrollo de orientaciones para su uso por parte de los desarrolladores de productos y sistemas, de modo que iRhythm pueda tratar de incorporar la privacidad desde el diseño y por defecto en los nuevos sistemas y procesos.
- Políticas y procedimientos: Revisión, actualización y redacción de nuevas políticas y procedimientos para cumplir con nuestras obligaciones reforzadas del RGPD.
- Contratos: Solicitud de información sobre la preparación para el RGPD de nuestros proveedores de servicios y realización de revisiones continuas y actualización de los Contratos relativos al tratamiento de datos personales en línea con los requisitos del RGPD con clientes y subcontratistas.
- Retención de datos: Conservación de los datos personales durante el tiempo que usted utilice el Zio Service y según sea necesario para cumplir nuestras obligaciones contractuales, identificar problemas o resolver procedimientos legales (o normativos). También podemos retener información agregada más allá de este tiempo para fines de investigación y para ayudarnos a desarrollar y mejorar nuestros servicios. Los pacientes no se pueden identificar a partir de información agregada retenida o utilizada para estos fines.
- Formación y concienciación: Actualización de los materiales de formación e implementación de un programa de formación para los empleados sobre los requisitos del RGPD, aumentando la concienciación y mejorando aún más la cultura de cumplimiento dentro de iRhythm.
- Responsable de Privacidad: Hemos designado a un responsable del cumplimiento de la privacidad dentro de iRhythm. El Responsable cuenta con el apoyo de un equipo interfuncional que promueve la concienciación sobre el RGPD en toda la organización.
- Notificación: Nuestras políticas de privacidad pueden consultarse en nuestro sitio web en https://www.zioreports.com/Application.html#PP_UK.
- Responsable/encargado del tratamiento: Establecer que iRhythm es un responsable del tratamiento y no un encargado.. Como responsable del tratamiento, iRhythm entiende que está sujeto al ámbito más amplio de las obligaciones derivadas de la ley de protección de datos a las que también están sujetas sus cuentas.
- Responsabilidad proactiva:Introducción de sistemas y registros para capturar y mantener registros de las medidas de cumplimiento adoptadas.
iRhythm entiende que la supervisión continua y la concienciación de los empleados son fundamentales para el cumplimiento continuo del RGPD. Seguimos revisando el tratamiento de los datos personales, ajustando y adaptando nuestra documentación según sea necesario.
Si tiene más preguntas sobre nuestro cumplimiento del RGPD, póngase en contacto con nosotros en UKprivacy@irhythmtech.com.