El ruido que ha hecho el nuevo Reglamento General de Protección de Datos de la Unión Europea (GDPR) sigue creciendo conforme se acerca la fecha de su puesta en marcha, el 25 de mayo de 2018. Uno de los elementos que se ha discutido mucho de esta ley es la correspondiente a las directrices que establece para los controladores y procesadores de datos. Si bien el GDPR conserva parte de las obligaciones que la Directiva Europea de Protección de Datos Personales pone en ambas partes, este reglamento introduce algunas responsabilidades nuevas. En este blog, hablaremos de las responsabilidades que el GDPR confiere a cada uno de ellos, y daremos algunas ideas de cómo una organización – ya sea un controlador o un procesador – puede empezar a prepararse para el GDPR.
¿Quién es el controlador? ¿Cuál es la definición de un procesador?
En el mundo digital de hoy, la recolección y almacenamiento de datos es más la norma que la excepción. Las empresas pueden recolectar datos individuales para fines de publicidad, marketing, analítica o investigación. Cada vez que una empresa recaba y procesa datos personales de un individuo, lo hace como ‘controlador’ o ‘procesador’ de datos. En el Capítulo1, Artículo4 del GDPR, ambos se definen de la siguiente forma:
‘Controlador’ es “la persona física o moral, autoridad pública, dependencia u otro organismo que solo, o en conjunto con otros, determina la finalidad y los medios para procesar los datos personales”.
Un procesador se refiere a “una persona física o moral, autoridad pública, dependencia u otro organismo que procesa datos personales en nombre del controlador”.
Se dice que una organización es un controlador de datos si controla y es responsable de los datos personales que tiene. Si, por otra parte, tiene datos personales pero alguna otra organización decide y es responsable de lo que pase con ellos, se dice que es un procesador de datos.
Controlador vs. Procesador: ¿Sobre quién tiene impacto el GDPR?
La respuesta es sobre ambos. De conformidad con la Directiva Europea de Protección de Datos Personales 95/46/EC, sólo los controladores serán responsables de incumplimientos con la protección de datos. No obstante, el Reglamento General de Protección de Datos de la Unión Europea (GDPR) aportará el equilibrio porque también asignará obligaciones directas a los procesadores.
De acuerdo con el Artículo 83, en caso de incumplimiento, es posible aplicar multas tanto a controladores como a procesadores. Las multas se aplicarán con respecto al “grado de responsabilidad del controlador y del procesador tomando en cuenta las medidas organizacionales y técnicas implementadas por ellos.”
Esto representa un cambio importante y aumentará drásticamente el perfil de riesgo para entidades, tales como los de los proveedores de centros de datos y nube, que actúen como procesadores de datos. No obstante, también los controladores sentirán el impacto, puesto que sus servicios se vincularán al alto costo de incumplimiento con el consecuente aumento en los costos de los servicios de los procesadores. Los controladores también deberán tener más cuidado con los procesadores con los que trabajen y deberán asegurarse de contar con las medidas operativas y técnicas necesarias para cumplir con el GDPR.
¿Cuáles son las responsabilidades del controlador?
Ahora que se ha dicho que tanto el controlador como el procesador compartirán las obligaciones de la protección de datos, veamos sus responsabilidades más a detalle.
El controlador es el principal encargado de recabar los datos. Estas responsabilidades incluyen la obtención del consentimiento de la persona, clasificación de los datos, administración de consentimiento-revocación, autoridad del derecho de acceso, etc. Debe tener la capacidad para mostrar cumplimiento con los principios relacionados con el procesamiento de los datos personales. Estos principios se incluyen en el GDPR como “legitimidad, justicia y transparencia, minimización de datos, exactitud, limitación de almacenamiento e integridad, además de confidencialidad de datos personales.”
El GDPR incluye detalles adicionales sobre la manera en que las organizaciones pueden demostrar que sus actividades de procesamiento son legales.
Si una persona revoca el consentimiento, el controlador será responsable de iniciar el procesamiento de la solicitud. Por ello, al recibir la solicitud, pedirá al procesador que retire los datos de los servidores.
En caso de que varias organizaciones compartan la responsabilidad del procesamiento de datos personales, el GDPR de la UE incluye la existencia de controladores conjuntos. Se espera que los controladores conjuntos determinen sus responsabilidades respectivas con base en un acuerdo y que presenten el contenido de este acuerdo a los sujetos de datos, con una definición de los medios de comunicación con procesadores con un punto único de contacto. El GDPR considera que los controladores conjuntos serán totalmente responsables.
La Directiva, que está a punto de perder vigencia, exenta a los controladores de responsabilidad por daño en casos de fuerza mayor o bajo circunstancias no previstas que eviten el cumplimiento de su acuerdo contractual. El GDPR no incluye exención, lo cual significa que los controladores podrán asumir riesgo en casos de fuerza mayor.
El controlador deberá conservar registros de todos los incumplimientos relativos a los datos. Estará obligado a divulgar incumplimientos relativos a los datos a las autoridades encargadas de hacer cumplir el GDPR, si se lo requiriesen. Debido a que el establecimiento de 72 horas como plazo límite para que el controlador reporte incumplimientos puede representar un enorme reto, los expertos recomiendan a las organizaciones que asignen una persona que asuma la responsabilidad de revisar y reportar los incumplimientos en el manejo de datos, y que implementen políticas y procedimientos claros para esos casos, según sea necesario.
Se espera que el controlador trabaje sólo con procesadores que cuenten con medidas organizacionales y técnicas adecuadas para cumplir con las directrices del GDPR. En otras palabras, los controladores de datos, es decir, los clientes de los procesadores de datos, podrán seleccionar únicamente procesadores que cumplan con el GDPR, o se arriesgarán a sanciones.
Puesto que las autoridades a cargo de la supervisión podrán aplicar sanciones a los controladores por falta de veto a los procesadores, estos últimos se verán obligados a obtener certificaciones independientes de cumplimiento para dar certidumbre a los controladores que deseen contratar sus servicios. De igual forma, deberán tomar las medidas necesarias para asegurar los datos, tales como encriptado y uso de seudónimos, estabilidad y disponibilidad, respaldos y recuperación de desastres, además de pruebas periódicas de seguridad. Es posible que los procesadores ubicados fuera de la Unión Europea se resistan a la imposición de estas obligaciones, potencialmente dificultando a los controladores la designación legal de sus procesadores deseados, y aumentando la complejidad de la negociación de convenios de tercerización.
¿Qué deberá hacer un procesador para cumplir con el GDPR?
Está prohibido que el procesador use los datos personales que se le confíen para fines distintos a los descritos por el controlador de los datos. A solicitud, el procesador deberá eliminar o devolver todos los datos personales al controlador al final del contrato de servicios.
Puede transferir datos personales a un país extranjero sólo después de contar con la autorización legal correspondiente.
Deberá obtener permiso por escrito del controlador antes de involucrar a un subcontratista y deberá asumir responsabilidad total por los incumplimientos de los subcontratistas con el GDPR.
El procesador deberá facilitar y contribuir con el cumplimiento de las auditorías que el controlador lleve a cabo o que lleve a cabo algún representante del controlador.
En caso de incumplimientos, el procesador deberá notificar a los controladores de los datos sin pérdida de tiempo innecesaria.
Además, un procesador deberá conservar un registro de las actividades de procesamiento de datos en caso de que cumpla con los siguientes criterios:
Los procesadores también deberán revisar acuerdos de procesamiento de datos existentes para asegurarse de cumplir con sus obligaciones de cumplimiento de conformidad con el GDPR.
¿Quién debe designar a un DPO?
El concepto de ‘Responsable de Protección de Datos’ (del inglés Data Protection Officer, DPO) para el procesamiento de datos personales de las empresas se ha convertido en un requisito obligatorio en algunos países, y en una mejor práctica en otros. Sin embargo, el GDPR exigirá el nombramiento de un DPO obligatorio para las empresas independientemente de su tamaño o si procesan datos personales en su capacidad de controlador o de procesador en circunstancias específicas.
De conformidad con el GDPR (Artículo 37), hay tres escenarios principales en los que el nombramiento de un DPO, por parte de un controlador o procesador es obligatorio.
Actividades principales se refiere a actividades operativas principales del controlador o procesador. Esto no incluye actividades de soporte tales como nómina o TI, que son auxiliares.
Las organizaciones deberán tomar en cuenta diversos factores para decidir si su procesamiento es ‘a gran escala’. Entre ellos:
a) número de sujetos de datos involucrados;
b) volumen de datos o rango de elementos de datos;
c) duración de procesamiento; y
d) extensión geográfica del proceso
El monitoreo regular y sistemático incluye todas las formas de rastreo y creación de perfiles en Internet. Sin embargo, no está limitado al entorno en línea y puede también incluir actividad offline. ‘Monitoreo regular’ se refiere a monitoreo continuo o que tenga lugar a intervalos particulares dentro de un plazo determinado; que recurra o se repita en ocasiones fijas, constantemente o periódicamente. ‘Monitoreo sistemático’ se refiere a un monitoreo que tiene lugar de acuerdo con un sistema previamente acordado, organizado, o metódico, como parte de un plan general de recolección de datos, o que tenga lugar como parte de una estrategia.
De igual forma es importante hacer notar que si una organización no cumple con los requerimientos del GDPR, pero decide voluntariamente asignar un DPO, aplicarán los mismos requisitos que para los DPO obligatorios. Si una organización decide no nombrar un DPO, se le recomienda documentar claramente las razones.
Calificaciones de un responsable de protección de datos
Si bien el GDPR no especifica las credenciales específicas del DPO, se espera que un responsable de protección de datos tenga suficiente experiencia y conocimiento personales sobre la ley de protección de datos. Esta experiencia deberá ser proporcional al tipo de procesamiento que la organización realice y el nivel de protección de datos personales que requiera.
Exención de responsabilidad Tome en consideración que en este blog hemos dado información básica sobre el GDPR. WSI no es una autoridad legal para aspectos del GDPR y sólo puede ofrecer asesoría sobre las mejores prácticas que van con una iniciativa de marketing digital. No obstante, para asesoría respecto de la interpretación legal de esta ley para su negocio, póngase en contacto con un funcionario de protección de datos o legal.
El GDPR afectará a las organizaciones de distintas formas, más allá de la seguridad de datos y las políticas. Las empresas que serán impactadas deberán buscar asesoría y ayuda legal, si así lo requieren. Cuando menos deberán contar con un plan claro de acción que incluya capacitación sobre el GDPR, revisión de los mecanismos de procesamiento y flujo de datos, vista previa de las prácticas y políticas de privacidad, para que puedan usar los datos de terceros, y más. Para poder comenzar a prepararse en el GDPR, le invitamos a descargar nuestra publicación “Una guía de 12 pasos para ayudarle a estar listo para la entrada en vigor del Reglamento General de Protección de Datos de la Unión Europea (GDPR)” haga clic aquí.
Fuentes:
https://www.eugdpr.org/
https://gdpr-info.eu/
https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/
http://pwc.blogs.com/data_protection/2017/02/data-protection-officer-do-you-need-to-appoint-one.htmlhttps://www.whitecase.com/publications/article/chapter-10-obligations-controllers-unlocking-eu-general-data-protection