El Reglamento general de protección de datos de la UE (GDPR), que entra en vigencia el 25 de mayo de 2018, es el cambio más importante en la regulación de privacidad de datos en 20 años. El RGPD se aplicará a todas las empresas que procesan los datos personales de todos los residentes de la Unión Europea, independientemente de la ubicación de la empresa. El control y la privacidad del investigador son principios básicos para ORCID, y hemos estado siguiendo de cerca la evolución y el plan de implementación del reglamento.
Los cambios clave incluyen:
- Fortalecer las condiciones para el consentimiento, como exigir el uso de un lenguaje claro y sencillo y hacer que sea tan fácil para las personas retirar el consentimiento como para otorgarlo.
- aumento de las sanciones por incumplimiento
- derechos ampliados para las personas, incluido el acceso a los datos que se tienen sobre ellos y el derecho al "olvido"
- Incluir la protección de datos en el diseño del sistema, en lugar de una idea posterior.
ORCIDLa política de privacidad actual, que se recertifica anualmente con un auditor externo, ya ha sido revisada por nuestras organizaciones líderes de consorcios en varios países europeos. El consenso general es que no debería haber problemas importantes de cumplimiento para ORCID, porque:
- Los usuarios individuales pueden proporcionar a las instituciones un permiso autenticado para actualizar sus ORCID archivos
- Los usuarios individuales tienen el control total de todos los permisos otorgados a las instituciones. El permiso se puede revocar en cualquier momento.
- Usando el ORCID API, una institución puede actualizar de forma segura los metadatos en ORCID archivos
- Las personas pueden eliminar todos los elementos que una institución ha actualizado en su ORCID registrar y controlar la visibilidad de estos elementos.
- La institución no agrega publicaciones completas a la ORCID registro, solo metadatos
- Los sistemas solo pueden actualizarse ORCID registros si el titular del registro les ha otorgado permiso para hacerlo; el registro no puede importar metadatos de otras API del sistema sin el consentimiento individual
Estamos trabajando en una traducción oficial al inglés del Revisión legal alemana, que compartiremos una vez que esté disponible. En términos generales, no encontró deficiencias sustanciales en la protección de datos. De hecho, el resumen señala que nuestra política de privacidad, que asegura el control del investigador, es un "personaje modelo" que permite a los usuarios "ver y controlar en todo momento qué datos se procesan cómo en la plataforma y quién tuvo acceso a los datos cuándo". "
Para reforzar esta retroalimentación positiva sobre nuestras prácticas y políticas existentes, hemos categorizado el GDPR en cinco áreas principales en las que trabajaremos:
- Almacenamiento de datos
- Consentimiento
- Procesos de derechos de los interesados
- Documentación de seguridad
- Revisión legal y contractual
Informaremos con más detalle sobre nuestro trabajo en estas áreas en futuras publicaciones de blog. Por favor no dudes en contáctenos si tiene alguna pregunta mientras tanto.