Reglamento General de Protección de Datos (GDPR)
Resumen del GDPR de Nuance
El Reglamento general de protección de datos (GDPR) tiene un amplio impacto en la recogida y uso de los datos personales de los interesados de la UE (individuos dentro de la UE). Refuerza los derechos de los interesados de la UE, aumenta las expectativas de protección de datos y ofrece a los reguladores la posibilidad de imponer multas de hasta un cuatro por ciento de la facturación anual mundial. De manera significativa, el GDPR se aplica a cualquier persona que recopila y trata datos personales de la UE, incluso si el tratamiento se realiza fuera de la UE. Los nuevos requisitos se basan en la Directiva sobre Protección de Datos de la UE existente y requieren mejoras en las políticas y procedimientos de tratamiento de datos personales de sujetos interesados de la UE.
Nuance se compromete a cumplir los requisitos del GDPR. Este documento describe el planteamiento de Nuance respecto a los requisitos clave del GDPR y define cómo Nuance apoya a nuestros clientes en sus esfuerzos por cumplir dicha con directiva.
Controladores y procesadores:
Para utilizar la terminología del GDPR, cuando Nuance proporciona productos y servicios basados en la nube que utilizan datos personales, actuamos como procesador de datos personales en nombre de nuestros partners controladores de datos. El GDPR impone obligaciones tanto a los controladores como a los procesadores de datos. Como procesador, Nuance está obligado contractualmente a utilizar datos personales de la UE para los fines específicos que se hayan descrito a los interesados. Para obtener información adicional sobre el uso que Nuance hace de los datos personales de la UE para un producto en particular, revise su acuerdo de cliente y el aviso de privacidad de Nuance. Para obtener más información, también puede ponerse en contacto con nosotros en (privacy@nuance.com).
Datos personales tratados por Nuance:
Generalmente, Nuance trata información de voz proporcionada por partners de servicios de reconocimiento de voz. Nuance no almacena identificadores personales específicos después de procesar un mensaje, aparte del propio archivo de voz. Una vez finalizado el procesamiento inicial del archivo de audio, no se conserva ninguna información de contacto, nombres de interesados o identificaciones de partners.
Las grabaciones de voz se recogen en fragmentos de pocos segundos de duración y no se almacenan de forma contigua o consecutiva. Por lo tanto, no es posible recuperar o aislar ninguna grabación de voz individual en su totalidad. Los fragmentos individuales son demasiado cortos para permitir la identificación de la persona a la que pertenece el archivo o para recuperar archivos de un individuo en concreto en la mayoría de nuestros sistemas.
Nuance comercializa diversos productos y servicios que sí almacenan identificadores personales, como software médico y servicios de transcripción. Los servicios de asistencia al cliente y de productos que se ofrecen en todas las divisiones de Nuance también suelen incluir el tratamiento de información personal. En los casos en que Nuance tiene información de identificación personal, trabajamos con los clientes para ayudarles a cumplir con cualquier solicitud de los interesados para ejercer sus derechos en el marco del GDPR. Nuance no utiliza datos proporcionados por los clientes para propósitos que vayan más allá de los servicios contractuales y la mejora de productos (p. ej. conservar las grabaciones de voz de un médico para mejorar la precisión de futuras transcripciones).
Puede encontrar más información sobre cómo trata Nuance la información personal en el aviso de privacidad de Nuance.
¿Qué hace Nuance para cumplir con el GDPR?
Al igual que muchas empresas que operaban en la UE antes del GDPR, Nuance ha cumplido con la Directiva sobre Protección de Datos de la UE y hace muchos años que ha incorporado en sus productos controles de privacidad y capacidades para la supresión de identidad. En 2017 Nuance completó una evaluación integral del nuevo reglamento del GDPR y evaluó su seguridad y sus prácticas de protección de datos para ver si cumplían los requisitos prescritos o necesitaban mejoras. A continuación, se muestran las respuestas de Nuance a algunos requisitos clave del GDPR:
¿Qué requiere el GDPR?
Supervisión de la privacidad
Las organizaciones que recopilen datos personales en la UE deben esperar que los reguladores sean cada vez más activos y deben ser capaces de demostrar el cumplimiento del GDPR. Las sanciones se han endurecido sustancialmente en el marco del GDPR.
Respuesta de Nuance
Nuance cuenta con un equipo dedicado de expertos en privacidad que supervisa y mantiene su programa de privacidad y tiene políticas para proteger los datos personales de la UE conforme a los requisitos del GDPR. Nuance también ha nombrado a una directora de privacidad/directora de protección de datos que supervisa el GDPR.
Además, llevaremos a cabo auditorías de privacidad rutinarias que incluirán controles de conformidad con el GDPR. Por último, todo el personal de Nuance que trate información personal de la UE recibe formación sobre privacidad que cubre el GDPR.
Protección de datos
Se deben proteger todos los datos utilizando medidas técnicas adecuadas para garantizar un nivel de seguridad apropiado para el riesgo que acarrean dichos datos.
Respuesta de Nuance
Nuance ha implementado una serie de sólidos controles de seguridad, conforme a diversos estándares de la industria. Se implementan controles técnicos, físicos y administrativos a nivel de aplicación y servidor para proporcionar seguridad, confidencialidad, disponibilidad, integridad de tratamiento y controles de privacidad. Por ejemplo, Nuance cuenta con controles técnicos de seguridad para restringir el acceso a los datos personales a las personas que necesitan conocerlos con un fin comercial y conserva la información durante períodos de tiempo limitados y, en el caso de muchos productos, retira el identificador de la información una vez finalizado el tratamiento.
Fallos de seguridad
El GDPR requiere la notificación de filtración de datos a la autoridad de supervisión en un plazo de 72 horas desde que el controlador se dé cuenta, con notificación a los interesados si el riesgo lo justifica.
Respuesta de Nuance
Nuance ha establecido procesos de incidente crítico y notificación de filtración de datos y revisa regularmente sus procesos para evaluar el cumplimiento de los requisitos reglamentarios. Nuance está familiarizado con los requisitos de notificación de filtración de datos gracias a muchos años de experiencia como procesador de datos médicos para organizaciones de atención sanitaria en los Estados Unidos bajo la regulación HIPAA. También tenemos procesos establecidos para proporcionar la información de apoyo requerida para generar una notificación de filtración completa y un informe para los partners. Estos procesos se pueden utilizar en sintonía con un proceso externo específico de gestión de filtraciones y un plan de comunicación desarrollado en colaboración con partners específicos.
Director de protección de datos
Los controladores y procesadores deben designar un director de protección de datos en determinadas circunstancias, como si se dedican al tratamiento a gran escala de datos habitualmente.
Respuesta de Nuance
Nuance ha nombrado a una directora de protección de datos para Nuance Communications, Inc. y sus empresas afiliadas. La información de contacto de la directora de protección de datos se encuentra en nuestra Declaración de privacidad.
Gobernanza de datos personales y privacidad desde el diseño
El cumplimiento de una serie de requisitos del GDPR, incluyendo la privacidad desde el diseño y la realización de evaluaciones del impacto de la protección de datos, requiere una sólida estructura de gobernanza de datos.
Respuesta de Nuance
Nuance ha creado un equipo de expertos en privacidad encabezado por la directora de privacidad que incluye a un gestor del programa de privacidad y abogados expertos en privacidad que darán cobertura a todas las divisiones de Nuance (Sanidad, Empresas y Automoción) y departamentos de la compañía como Marketing y Recursos Humanos.
Nuance cuenta con un equipo de privacidad dedicado que proporciona apoyo durante todas las etapas de desarrollo del producto. Hemos identificado requisitos fundamentales del GDPR, que hemos traducido en requisitos de diseño específicos. Los controles de diseño resultantes se incorporan en las etapas apropiadas de desarrollo del producto.
El equipo de privacidad realiza evaluaciones de impacto sobre la privacidad (PIA), consulta sobre temas contractuales que tengan que ver con el uso y la protección de datos y aconseja sobre una amplia gama de cuestiones de privacidad.
Reducción de datos y retención limitada
Se debe garantizar la reducción de datos durante todas las fases del tratamiento:
En el punto de recopilación: la recopilación de datos personales debe limitarse a la cantidad mínima de datos personales (tanto en índole como en volumen) estrictamente necesaria para cumplir con los fines consensuados.
En la generación de datos personales: allá donde el sistema observe, derive o deduzca datos personales, se limitarán a la cantidad mínima de datos de personales estrictamente necesaria para cumplir con los fines consensuados.
Además, los datos personales solo se deben procesar y conservar el tiempo necesario para cumplir con los fines para los que fueron recopilados y no más tiempo.
Respuesta de Nuance
Aunque los datos recopilados son en gran medida responsabilidad del controlador, Nuance cuenta con un proceso de revisión de la privacidad que considera la recopilación y el uso de los datos.
Registros del tratamiento
Como procesador de datos en nombre de nuestros clientes, el GDPR requiere que Nuance mantenga registros de las actividades de tratamiento de datos, incluyendo el propósito del tratamiento, las categorías de interesados y cualquier transferencia transfronteriza.
Respuesta de Nuance
Nuance está documentando todas las actividades de tratamiento de datos importantes que afecten a datos personales de la UE que proporcionarán los registros apropiados del tratamiento de datos de Nuance.
Si los partners necesitan más información de Nuance para completar su correspondencia de datos y bibliotecas de tratamiento, trabajaremos para asegurar que se proporcionen todos los datos que requieren de Nuance.
Derechos de los interesados
El GDPR otorga a los interesados mayores derechos para controlar sus datos, incluyendo el derecho de acceso a sus datos, la corrección de datos inexactos y, en algunos casos, la eliminación de los datos.
Respuesta de Nuance
Nuance se compromete a responder con prontitud a todas las solicitudes que recibamos de personas que desean ejercitar sus derechos de interesados. Los clientes deben ser conscientes de que muchos de los datos que tenemos no son atribuibles a un individuo en particular.
En los casos en que Nuance tiene información de identificación personal, trabajamos con los clientes para ayudarles a cumplir con cualquier solicitud de los interesados para ejercer sus derechos en el marco del GDPR.
Terceros
Los contratos entre Nuance y sus clientes tendrán requisitos adicionales, ya que el artículo 28 del GDPR requiere disposiciones específicas de tratamiento de datos en contratos entre controladores y procesadores.
Respuesta de Nuance
Siempre que un tercero realice el alojamiento de datos personales, Nuance revisa las políticas, procedimientos y controles del proveedor para garantizar que se mantenga un nivel adecuado de seguridad.
Nuance ha revisado sus contratos estándar para clientes europeos para incluir nuevas disposiciones de tratamiento de datos que aborden los requisitos del artículo 28, incluyendo el control del subprocesamiento, ayuda con los derechos de los interesados, auditorías e inspecciones.
Legalidad del tratamiento
El tratamiento de datos personales es legítimo solo si se cumple una de las seis condiciones mencionadas en el GDPR (por ejemplo, si hay intereses legítimos, si es necesario para la ejecución de un contrato o si es necesario para otro motivo legal o de cumplimiento de reglamento). El consentimiento es una de las seis condiciones, pero bajo el GDPR, los requisitos de consentimiento son más estrictos. Entre otros cambios clave, el GDPR otorga a los interesados una mayor capacidad para retirar su consentimiento en cualquier momento.
Respuesta de Nuance
Como controladores de datos, es responsabilidad de nuestros clientes determinar la legalidad del tratamiento de datos. Como procesador de datos, Nuance debe acatar las determinaciones de legalidad de los clientes y procesar los datos de acuerdo con los requisitos contractuales.
Transferencias transfronterizas
Las transferencias de datos personales a países de fuera del EEE se permiten generalmente (a) a países que la Comisión Europea considera que ofrecen un nivel “adecuado” de protección de datos personales, (b) con el uso de cláusulas contractuales estándar, (c) mediante normas corporativas obligatorias (BCR) o (d) a los Estados Unidos, mediante el cumplimiento del marco de protección de privacidad.
Respuesta de Nuance
Nuance tiene acuerdos de protección de datos estándar que incluyen cláusulas modelo de contrato para permitir la transferencia de datos de la UE a EE. UU. También tenemos la certificación de protección de privacidad. Por último, en los casos en los que nuestros clientes han adoptado BCR, estamos dispuestos a firmar acuerdos de procesador de datos que obliguen a Nuance a cumplir los términos de las BCR.
Productos y soluciones locales y en la nube
Nuance ofrece muchos productos que almacenan datos en la nube. En estos casos, Nuance tiene acceso a los datos y actúa como procesador de datos. Nuance también ofrece una serie de productos locales que almacenan datos en servidores propiedad de nuestros clientes o gestionados por ellos. En estos casos, Nuance generalmente no tiene acceso a los datos, no es un procesador de datos y no desempeña ningún papel en las actividades de cumplimiento del GDPR. Sin embargo, Nuance ofrece servicios de asistencia al cliente para productos locales, lo que ocasionalmente implica el acceso a datos personales. En la medida en que Nuance reciba datos personales de la UE en el curso de la prestación de servicios de asistencia al cliente, cumpliremos plenamente con los requisitos del GDPR.
Qué esperar de aquí en adelante:
A medida que los requisitos del GDPR adquieran mayor claridad a través de la orientación regulatoria y la aplicación de la ley, Nuance espera mejorar aún más el programa del GDPR para sus clientes. Asimismo, a medida que se mejore el programa, actualizaremos esta guía con más detalles.
Si tiene alguna pregunta concreta sobre cómo le ayudará Nuance a cumplir con sus obligaciones del GDPR, mande un correo electrónico a (privacy@nuance.com).