GDPR Q&A - Online LMS Platform - TalentLMS

RGPD

RGPD

Nuestro compromiso con usted y la protección de sus datos

TalentLMS tiene el deber ético, legal y profesional de garantizar que la información que contiene se ajuste a los principios de confidencialidad, integridad, privacidad y disponibilidad. En otras palabras, la información de la que somos responsables está salvaguardada cuando es necesario contra la divulgación inapropiada, es precisa, oportuna y atribuible, y está disponible para quienes deberían poder acceder a ella. TalentLMS cumple con la ley estatutaria y la normativa internacional con respecto a cuestiones de privacidad y seguridad. Hemos ejecutado un programa de cumplimiento de GDPR internamente para cumplir con GDPR, antes de que entre en vigor la nueva legislación (el 25 de mayo de 2018).

Hemos desarrollado un pequeño documento de preguntas y respuestas de GDPR para ayudarlo con su hoja de ruta hacia el cumplimiento, en el que se proporciona una descripción general de alto nivel de la normativa, se habla de su impacto principal y se le ayuda a evitar algunas trampas y falacias comunes de GDPR.

Además de fortalecer y estandarizar la privacidad de los datos de los usuarios en las naciones de la UE, GDPR impone obligaciones nuevas o adicionales a todas las organizaciones que gestionan los datos personales de los ciudadanos de la UE, independientemente de dónde se encuentren las propias organizaciones. En esta página, explicaremos nuestros métodos y planes para lograr el cumplimiento de GDPR, tanto para nosotros como para nuestros clientes.

Preparación para el GDPR

Los requisitos actualizados de GDPR son significativos y nuestro equipo ha trabajado arduamente para asegurar que TalentLMS los cumpla antes del 25 de mayo de 2018. Las medidas para lograrlo incluyen:

  • Continuar invirtiendo en nuestra infraestructura de seguridad, de modo que el nivel de seguridad ofrecido sea apropiado para el riesgo, incluyendo, entre otras cosas, las características del servicio enumeradas en nuestra página de seguridad y la base de conocimientos.
  • Asegurarnos de haber adoptado los términos contractuales apropiados. Asegurarnos de poder dar cabida las transferencias de datos internacionales, manteniendo nuestras autocertificaciones de Escudo de privacidad y ofrecer un Anexo de procesamiento de datos (DPA)actualizado que cumpla con GDPR. Asegurar que los servicios externos que TalentLMS puede usar, enumerados como el Archivo adjunto 3 de nuestro Anexo de procesamiento de datos, cumplan plenamente con los requisitos de privacidad y seguridad de los clientes de TalentLMS, tal como se refleja en sus programas de cumplimiento de GDPR, las certificaciones de Escudo de privacidad y sus DPA, firmados recíprocamente con nosotros.
  • Asegurar que existan términos de confidencialidad en los contratos de los miembros de nuestro personal que participan en el procesamiento de datos personales.
  • Asegurar que se pueda acceder fácilmente al personal de privacidad de datos de TalentLMS a través de la privacidad de correo electrónico en talentlms.com para que los usuarios puedan dejar preguntas, presentar quejas o ejercer sus derechos.
  • Mejorar nuestras políticas, controles y ofertas de productos, incluyendo nuevas herramientas/características del producto para la portabilidad de datos y la gestión de datos, para ayudar a nuestros clientes a ejercer los derechos de los sujetos de datos.
  • Proporcionar información suficiente sobre el servicio de TalentLMS a través de la política de privacidad, los términos del servicio y el DPA.
  • En el muy poco probable caso de violación de los datos, tener una política y un plan para informar a las autoridades de supervisión y los interesados en 72 horas.

También supervisamos constantemente la orientación en torno al cumplimiento de GDPR de los organismos reguladores y códigos de conducta relacionados con la privacidad, y recientemente nos hemos unido al código de conducta de la UE, un código de conducta de protección de datos de la UE para proveedores de servicios en la nube que contiene garantías rigurosas para la protección de datos en servicios en la nube.

Nuestra infraestructura de seguridad

Proteger la información de nuestros clientes y la privacidad de sus usuarios es extremadamente importante para nosotros. Como empresa basada en la nube a la que se confían algunos de los datos más valiosos de nuestros clientes, hemos establecido altos estándares de seguridad.

Nuestra infraestructura en la nube utiliza servidores Rackspace y almacenamiento Amazon S3 con encriptación AES-256. Tanto Rackspace como Amazon son participantes activos en el programa del Escudo de privacidad y son dos proveedores líderes en la nube que están altamente certificados en privacidad y seguridad. Todas las comunicaciones de TalentLMS se cifran mediante una versión altamente segura de SSL/TLS con cifras robustas, lo que ha dado lugar a una calificación de seguridad A +.

Además de eso, hemos invertido en crear un sólido equipo de privacidad y seguridad, cumpliendo con las recomendaciones de NIST y estamos mejorando nuestro conjunto de herramientas para detectar vulnerabilidades de software antes del inicio de la producción, evaluando nuestro software y nuestras implementaciones, ejecutando un programa de recompensas de errores, supervisando nuestra infraestructura, protegiendo los datos de los clientes, garantizando la recuperación en casos de desastre, la continuidad del negocio y la alta disponibilidad. De acuerdo con los requisitos de GDPR sobre notificaciones de incidentes de seguridad, TalentLMS continuará cumpliendo con sus obligaciones y ofreciendo garantías contractuales. Visite nuestra Política de privacidad y nuestros Términos de servicio, además de nuestra página de seguridad, si desea obtener más información sobre nuestras políticas, procedimientos y características de privacidad y seguridad.

Visite nuestra Política de privacidad y nuestros Términos de servicio, además de nuestra página de seguridad, si desea obtener más información sobre nuestras políticas, procedimientos y características de privacidad y seguridad.

Transferencias de datos internacionales: escudo de privacidad y términos contractuales

Para cumplir con las leyes europeas de protección de datos en torno a los mecanismos internacionales de transferencia de datos, ya participamos en el programa del Escudo de privacidad transatlántico que asegura que los datos de los clientes de la UE se gestionan correctamente cuando se encuentran en servidores de EE. UU. Puede encontrar nuestra entrada de TalentLMS aquí.

TalentLMS nunca utilizará subprocesadores que retengan instalaciones o puedan llevar a cabo el procesamiento en países que no están incluidos en la lista de países respecto de los cuales la Comisión Europea ha afirmado explícitamente la adecuación de la protección de datos personales.

Transferencias de datos internacionales: escudo de privacidad y términos contractuales

Para cumplir con las leyes europeas de protección de datos en torno a los mecanismos internacionales de transferencia de datos, ya participamos en el programa del Escudo de privacidad transatlántico que asegura que los datos de los clientes de la UE se gestionan correctamente cuando se encuentran en servidores de EE. UU. Puede encontrar nuestra entrada de TalentLMS aquí.

TalentLMS nunca utilizará subprocesadores que retengan instalaciones o puedan llevar a cabo el procesamiento en países que no están incluidos en la lista de países respecto de los cuales la Comisión Europea ha afirmado explícitamente la adecuación de la protección de datos personales.

Apoyar los derechos mejorados de los clientes de TalentLMS como sujetos de datos

Los derechos de los clientes de TalentLMS como sujetos de datos son importantes para nosotros. Nos comprometemos a dar soporte a los nuevos y mejorados derechos de los sujetos de datos bajo GDPR para todos nuestros usuarios, independientemente de su ubicación o nacionalidad: también explicaremos cómo TalentLMS ayuda a nuestros clientes a respaldar los derechos mejorados de los usuarios finales de sus dominios en la penúltima sección de esta página.

Derecho de acceso: Nuestra política de privacidad describe qué datos recopilamos y cómo los usamos. Si tiene preguntas concretas sobre datos en particular, puede ponerse en contacto con nosotros en el correo electrónico talentlms.com para cualquier aclaración o información que pueda necesitar en cualquier momento. La información se proporcionará de forma gratuita, sin retrasos indebidos y, por lo general, mucho antes de la fecha límite prescrita por GDPR de un mes tras la recepción de la solicitud.

Derecho de rectificación: Puede acceder y actualizar sus ajustes de cuenta de TalentLMS en cualquier momento para corregir o completar la información de su cuenta a través de su perfil haciendo clic en el elemento "Mi información" desde el menú de su cuenta en la parte superior de la interfaz de TalentLMS. También puede ponerse en contacto con TalentLMS en cualquier momento si necesita ayuda para acceder, corregir, modificar o eliminar la información que tenemos sobre usted, tal como se explica en nuestra política de privacidad.

Derecho a ser olvidado: Puede rescindir su cuenta de TalentLMS en cualquier momento, en cuyo caso eliminaremos permanentemente su cuenta y todos los datos asociados a ella de acuerdo con la política de retención de datos de TalentLMS. En particular, la rescisión de su cuenta de administrador hará que el dominio esté inactivo; todos los datos de la cuenta se guardan durante 12 meses después de la cancelación de la cuenta para garantizar que la reconexión del servicio sea lo más fluida posible. El sistema elimina los dominios inactivos por un período de 12 meses o más. También puede ponerse en contacto con nosotros en privacy@talentlms.com si desea que sus datos se eliminen al cancelar su cuenta; eliminaremos permanentemente su cuenta y todos los datos vinculados a ella en un plazo máximo de treinta días.

Restricción de procesamiento: TalentLMS admite el derecho de solicitar restricciones del procesamiento al proporcionarle la posibilidad al administrador de que establezca el estado de cualquier usuario como "Inactivo". Esto también se puede hacer para grandes grupos de usuarios, seleccionándolos y posteriormente invocando la acción masiva "Establecer como activo/inactivo".

Derecho a objetar: Si se opone a las notificaciones por correo electrónico de TalentLMS, puede desactivarlas usted mismo o cualquier otro usuario final de su dominio siguiendo estos pasos. Puede optar por no incluir sus datos en nuestro marketing, excluyéndose de las listas de correo en el pie de página de los boletines informativos y los correos electrónicos de marketing que reciba.

Derecho de portabilidad de datos: Puede exportar sus datos en cualquier momento a través del panel de administración de la aplicación; el proceso es bastante sencillo y también se explica aquí. TalentLMS es totalmente compatible con el derecho a recibir los datos de su dominio en un formato estructurado, comúnmente utilizado y que permita la lectura automática. En particular, TalentLMS por diseño admite la exportación en múltiples formatos, incluidos CSV, XLS y SCORM. Además, nos complace exportar los datos de su cuenta a un tercero en cualquier momento previa solicitud, que puede enviar a privacy@talentlms.com.

Apoyar los derechos mejorados de los usuarios finales de TalentLMS como sujetos de datos

Entendemos perfectamente que los clientes de TalentLMS necesitan nuestra ayuda para cumplir con el GDPR. Y nos complace poder decir que hemos desarrollado esas herramientas y características para mejorar TalentLMS para cumplir con la normativa GDPR sobre el soporte de los derechos de los sujetos de datos mejorados por el GDPR para los usuarios finales de los dominios TalentLMS que nuestros clientes creen y administren:

Derecho de acceso: Los datos recopilados para cada usuario final de TalentLMS se describen en nuestra política de privacidad. Cada administrador de dominio puede recopilar datos adicionales sobre los usuarios finales a través de los campos personalizados que el administrador del dominio puede haber especificado para los usuarios finales de su dominio. Todos estos datos se muestran también en la página del perfil del usuario respectivo, mientras que la actividad de los usuarios finales en el sistema también se puede recuperar a través de la línea de tiempo ampliada del LMS. En caso de que los usuarios finales tengan preguntas específicas sobre datos particulares que el administrador de dominio no pueda proporcionar, también pueden ponerse en contacto con nosotros en privacyl@talentlms.com para cualquier aclaración o información que puedan necesitar en cualquier momento. La información se proporcionará de forma gratuita, sin retrasos indebidos y, por lo general, mucho antes de la fecha límite prescrita por el GDPR de un mes después de la respectiva recepción de la solicitud.

Derecho de rectificación: Los usuarios finales pueden acceder y actualizar su cuenta de TalentLMS para corregir o completar la información de su cuenta seleccionando el elemento "Mi información" en el menú de su cuenta a través de la interfaz de TalentLMS. Los usuarios finales también pueden ponerse en contacto con el administrador de su dominio directamente o incluso la privacidad de TalentLMS en caso de que exista un problema en cualquier momento para acceder, corregir, subsanar o eliminar información sobre ellos, como se explica en la política de privacidad de TalentLMS.

Derecho a ser olvidado: TalentLMS apoya la administración sofisticada del usuario final, que incluye dejar inactivo al usuario o eliminarlo permanentemente del sistema.

  • El procedimiento para eliminar permanentemente un usuario individual, por ejemplo debido a la solicitud del interesado, se describe aquí.
  • También es posible eliminar en masa usuarios que, por ejemplo, estén inactivos durante un período de tiempo específico o que no hayan iniciado sesión durante un tiempo determinado o según distintas reglas admitidas por TalentLMS. Este enfoque basado en las reglas del derecho a ser olvidado para una gran cantidad de usuarios, caso en el que la eliminación manual para cada individuo sería tediosa, ya es posible para el administrador, mediante la creación de un informe personalizado y luego realizando una acción masiva para eliminar a los usuarios de la lista, como se explica aquí.

Estas dos funciones complementarias de TalentLMS permiten a nuestros clientes cumplir completamente con el GDPR en relación con el derecho de sus usuarios finales a ser olvidados o borrados de TalentLMS. Además, en caso de que el administrador de dominio habilite esta característica para los usuarios de su dominio configurando la opción "Genérico/Perfil/Actualizar", el usuario final puede excluirse directamente del servicio de TalentLMS mediante la opción "Eliminar mi cuenta" que está disponible debajo del botón "Más" en el perfil de usuario. Esta opción adicional permite a los usuarios finales excluirse del servicio sin la intervención del administrador de dominio TalentLMS respectivo.

Restricción de procesamiento: TalentLMS apoya el derecho de restringir el procesamiento al proporcionar al administrador la posibilidad de establecer el estado de cualquier usuario como "Inactivo". Esto también se puede hacer para grandes grupos de usuarios, siguiendo el mismo procedimiento para eliminar usuarios de forma masiva explicado en el párrafo "Derecho a ser olvidado" e invocando la acción masiva "Establecer como activo/inactivo" en lugar de eliminando.

Derecho a objetar: El caso en el que el usuario final se opone al procesamiento para el aprendizaje electrónico se trata en la parte "Derecho a ser olvidado". En caso de que el usuario se oponga a las notificaciones por correo electrónico de TalentLMS, puede ponerse en contacto con su administrador de dominio, que puede excluir a los usuarios respectivos de las notificaciones por correo electrónico siguiendo los pasos descritos aquí.

Derecho de portabilidad de datos: Como se explicó anteriormente en esta página, esto se apoya mediante la función de exportación de la aplicación. El progreso del usuario también se puede exportar utilizando la función de informes personalizados de TalentLMS.

Consentimiento: TalentLMS permite a sus clientes solicitar y registrar explícitamente el consentimiento de los usuarios para utilizar el servicio de TalentLMS. En particular, cada administrador de dominio puede establecer a través de la pestaña "Usuarios" de la página de administración Inicio/Cuenta y ajustes una página personalizada de "Términos de servicio" que se debe mostrar a cada usuario final cuando entra por primera vez en el sistema. Es necesario aceptar esta página para continuar con el LMS, así que esta es una forma práctica de obtener el consentimiento de los usuarios finales a través de TalentLMS. Tenga en cuenta que una vez que un usuario final acepta dar su consentimiento, TalentLMS también lo registra y aparece en la línea de tiempo ampliada de la aplicación, lo que facilita su uso para fines de informes o cumplimiento si es necesario. Si los usuarios finales optan por retirar el consentimiento para el aprendizaje electrónico, esto es esencialmente equivalente a la eliminación del usuario del servicio, de tal manera que el administrador del dominio puede seguir el proceso del "Derecho a ser olvidado" explicado anteriormente en esta página para satisfacer la solicitud del sujeto de datos y eliminar al usuario final de TalentLMS.

Además, TalentLMS admite la importación/exportación granular de usuarios en función de una columna "Términos", siempre que el dominio respectivo haya especificado "Términos de servicio".

Con respecto a los usuarios que se han insertado en el sistema antes de la fecha en que se solicitó el consentimiento, y sin haber aceptado los términos, TalentLMS también permite al administrador seleccionar a estos usuarios que no aceptaron los términos del servicio y eliminarlos de forma masiva. Este es el mismo procedimiento de eliminación masiva descrito en la parte "Derecho a ser olvidado" y también puede lo puede aplicar el administrador para usuarios "antiguos" que hayan estado inactivos por un cierto período de tiempo. Por lo tanto, esto permite a los clientes de TalentLMS aplicar su política de retención de datos compatible con el GDPR para su dominio.

Sin decisiones individuales automatizadas: TalentLMS, por diseño, respeta plenamente el derecho de sus usuarios a no estar sujetos a una decisión basada únicamente en el procesamiento automatizado, incluida la creación de perfiles, que produzca efectos legales sobre ellos o, de manera similar, les afecte significativamente.

Manténgase actualizado

Cumplir con nuestros compromisos de privacidad y seguridad de datos es importante para nosotros. Así que nos complace ayudarlo a prepararse para todos los cambios que incorpora el GDPR. Si tiene alguna pregunta sobre cómo TalentLMS puede ayudarlo con el cumplimiento, o si tiene alguna duda relacionada con la privacidad, póngase en contacto con nosotros en: privacy@talentlms.com.