Compliment de l'Article 28 del RGPD amb les API de Didit (CA)

Comprensió de l'Article 28L'Article 28 del RGPD estableix condicions estrictes per als processadors de dades, exigint-los que actuïn només segons les instruccions documentades del controlador i implementin mesures de seguretat adequades per protegir les dades personals.

Relació Controlador-ProcessadorUn contracte clar i legalment vinculant (Acord de Tractament de Dades) és essencial, definint rols, responsabilitats i clàusules de protecció de dades entre el controlador i el processador de dades.

Mesures Tècniques i OrganitzativesEls processadors han d'emprar seguretat d'última generació, incloent xifratge, pseudonimització, proves regulars i controls d'accés robustos, garantint la integritat i la confidencialitat de les dades.

L'Avantatge de Conformitat de DiditLa plataforma d'identitat modular i nativa d'IA de Didit proporciona seguretat integrada, pistes d'auditoria i fluxos de treball configurables, permetent a les empreses complir els requisits de l'Article 28 de manera eficient i efectiva.

En el món actual basat en dades, el compliment de regulacions com el Reglament General de Protecció de Dades (RGPD) no és només una obligació legal, sinó una pedra angular de la confiança per a qualsevol negoci que gestioni dades personals. Per a les empreses que actuen com a processadors de dades, especialment en l'espai de verificació d'identitat, comprendre i implementar l'Article 28 del RGPD és de vital importància. Aquest article aprofundeix en les complexitats de l'Article 28 i demostra com la plataforma d'identitat avançada basada en API de Didit pot ser la vostra eina més efectiva per assolir i mantenir el compliment.

Què és l'Article 28 del RGPD i per què és important?

L'Article 28 del RGPD estableix les condicions que regeixen el paper d'un processador de dades. Aclara que un controlador de dades (l'entitat que determina el 'per què' i el 'com' del processament de dades) només ha de contractar processadors que proporcionin garanties suficients per implementar mesures tècniques i organitzatives adequades per complir els requisits del RGPD i protegir els drets dels interessats. Essencialment, assegura que quan una empresa (controlador) externalitza el processament de dades, aquesta entitat externalitzada (processador) manté els mateixos alts estàndards de protecció de dades.

Per als processadors d'identitat, això significa assegurar que cada pas del procés de verificació —des de la recollida de dades mitjançant la verificació d'identificació (OCR, MRZ, codis de barres) fins a les comprovacions biomètriques com la vida passiva i activa i la coincidència facial 1:1— es gestioni amb la màxima cura, seguretat i transparència. L'incompliment pot comportar sancions greus, dany a la reputació i una pèrdua significativa de la confiança del client.

Requisits clau per als processadors de dades segons l'Article 28

L'Article 28 descriu diversos mandats crítics per als processadors de dades:

1. Instruccions documentades: Els processadors només han de processar dades personals segons les instruccions documentades del controlador. Això significa que no hi ha decisions de processament independents.
2. Confidencialitat: Els processadors han d'assegurar que les persones autoritzades a processar les dades personals s'han compromès a la confidencialitat o estan subjectes a una obligació legal de confidencialitat adequada.
3. Seguretat del processament: Els processadors han d'implementar mesures tècniques i organitzatives adequades per garantir un nivell de seguretat apropiat al risc. Això sovint implica mesures com la pseudonimització i el xifratge de dades personals, la capacitat d'assegurar la confidencialitat, integritat, disponibilitat i resiliència contínua dels sistemes i serveis de processament, i la capacitat de restaurar la disponibilitat i l'accés a les dades personals en un termini raonable en cas d'un incident físic o tècnic.
4. Subprocessadors: Els processadors no poden contractar un altre processador (subprocessador) sense l'autorització prèvia específica o general per escrit del controlador. Quan s'autoritza, el processador ha d'imposar les mateixes obligacions de protecció de dades al subprocessador que les que figuren en el contracte entre el controlador i el processador.
5. Assistència al controlador: Els processadors han d'ajudar el controlador a garantir el compliment de les obligacions del controlador, especialment pel que fa a les sol·licituds de drets dels interessats, les avaluacions d'impacte de la protecció de dades i les notificacions de violacions de seguretat.
6. Supressió o devolució de dades: Un cop finalitzats els serveis, els processadors han de, a elecció del controlador, suprimir o retornar totes les dades personals al controlador i suprimir les còpies existents, llevat que la llei exigeixi l'emmagatzematge de les dades personals.
7. Drets d'auditoria: Els processadors han de posar a disposició del controlador tota la informació necessària per demostrar el compliment de l'Article 28 i permetre i contribuir a les auditories, incloses les inspeccions, realitzades pel controlador o un altre auditor mandatat pel controlador.

La plataforma de Didit està dissenyada amb aquests principis en ment, oferint funcions que donen suport directe al compliment de cadascun d'aquests requisits. Per exemple, les nostres robustes pistes d'auditoria i la capacitat de generar informes PDF preparats per al compliment per a qualsevol sessió de verificació (mitjançant l'API Generate PDF) aborden directament la necessitat de transparència i auditabilitat.

La importància de les mesures tècniques i organitzatives (MTO)

La clàusula de "mesures tècniques i organitzatives adequades" és on es posa a prova la realitat per als processadors de dades. No es tracta només de tenir una política de privadesa; es tracta d'integrar la protecció de dades en l'arquitectura mateixa dels vostres sistemes. Per a la verificació d'identitat, això inclou:

• Minimització de dades: Recopilar només les dades absolutament necessàries per a la finalitat de la verificació.
• Xifratge: Protegir les dades tant en trànsit com en repòs.
• Controls d'accés: Limitar qui pot accedir a dades d'identitat sensibles.
• Auditories de seguretat regulars: Identificar i mitigar proactivament les vulnerabilitats. Didit té la certificació ISO 27001, compleix el RGPD i té la certificació iBeta Nivell 1, demostrant el nostre compromís amb la seguretat de nivell empresarial.
• Resposta a incidents: Disposar de procediments clars per gestionar les violacions de dades.
• Polítiques de retenció de dades: Adherir-se als períodes definits per a l'emmagatzematge de dades, alineats amb les instruccions del controlador.

L'arquitectura nativa d'IA de Didit garanteix que aquestes MTO estiguin integrades des del principi. El disseny modular de la nostra plataforma permet als controladors configurar els fluxos de treball amb precisió, assegurant que només es processin les dades necessàries. Per exemple, l'estimació d'edat es pot utilitzar per a serveis amb restricció d'edat sense recopilar detalls d'identitat complets, adherint-se als principis de minimització de dades.

Com Didit ajuda a assolir el compliment de l'Article 28 del RGPD

Didit està dissenyat per ser el soci ideal per als controladors de dades que busquen una verificació d'identitat conforme a l'Article 28 del RGPD. La nostra plataforma proporciona les eines i garanties necessàries:

• Fluxos de treball configurables: Els fluxos de treball orquestrats de Didit, accessibles a través de la nostra Consola de Negoci, permeten als controladors dissenyar recorreguts de verificació d'identitat de diversos passos, inclosos KYC, comprovacions d'edat i cribratge i monitorització d'AML. Això garanteix que el processament s'alinea amb precisió amb les instruccions documentades i les necessitats de compliment específiques.
• Seguretat i certificacions robustes: Construït amb seguretat de nivell empresarial, Didit té les certificacions ISO 27001, ISO 27017 i ISO 27018, i iBeta Nivell 1 per a la detecció de vida. També estem preparats per a la Llei d'IA de la UE, proporcionant una base de confiança i compliment.
• Pistes d'auditoria completes: Cada sessió de verificació genera registres detallats, i la nostra API Generate PDF permet la creació d'informes preparats per al compliment, crucials per demostrar la responsabilitat i ajudar amb les auditories del controlador.
• Minimització de dades per disseny: Funcions com l'estimació d'edat que preserva la privadesa permeten a les empreses complir els requisits de compliment sense recopilar dades personals en excés.
• Cobertura global: Amb la verificació d'identificació que admet documents de més de 220 països, Didit garanteix un processament coherent i conforme independentment de la ubicació geogràfica.
• Enfocament "developer-first": Les API netes i un entorn de proves instantani permeten als controladors integrar i gestionar els seus processos d'identitat amb control i transparència totals, complint el requisit d'instruccions documentades.

El compromís de Didit amb la seguretat, la modularitat i el disseny natiu d'IA significa que, com a processador de dades, proporcionem les màximes garanties per protegir les dades personals, fent que el compliment de l'Article 28 sigui un procés simplificat i fiable per als nostres clients. La nostra oferta de KYC bàsic gratuït permet a les empreses començar a construir aquests fluxos de treball conformes sense inversió inicial, destacant el nostre compromís amb solucions d'identitat accessibles i segures.

Preparat per començar?

Voleu veure Didit en acció? Obteniu una demostració gratuïta avui mateix.

Comenceu a verificar identitats gratuïtament amb el nivell gratuït de Didit.