Nota del editor: esta publicación se publicó originalmente en marzo de 2018 y se actualizó con contenido adicional en diciembre de 2020.
El rumor sobre el próximo Reglamento General de Protección de Datos (GDPR) de la Unión Europea está cobrando fuerza a medida que se acerca la fecha de aplicación, es decir, el 25 de mayo de 2018. Uno de los elementos más discutidos de esta ley son las nuevas pautas que ha establecido para los controladores y procesadores de datos. Si bien el GDPR conserva algunas de las obligaciones que la Directiva de protección de datos impone a ambas partes, también ha introducido algunas nuevas. En este blog, analizaremos el procesador de datos y las responsabilidades del controlador que el GDPR ha conferido a cada uno, y brindaremos información sobre cómo una organización, ya sea controlador o procesador, puede comenzar a prepararse para estar lista para GDPR.
En el mundo digital actual, la recopilación y el almacenamiento de datos es más una norma que una excepción. Las empresas pueden recopilar datos individuales con fines publicitarios, de marketing, analíticos o de investigación. Cada vez que una empresa recopila y procesa los datos personales de un individuo, lo hace como "controlador" o "procesador". En el Capítulo 1, Artículo 4 del GDPR, los dos se definen a continuación:
"Responsable del tratamiento" es "la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o junto con otros, determina los fines y los medios del tratamiento de datos personales".
Procesador se refiere a "una persona física o jurídica, autoridad pública, agencia u otro organismo que procesa datos personales en nombre del controlador".
Si una organización controla y es responsable de los datos personales que posee, es un controlador de datos. Si, por otro lado, tiene los datos personales, pero alguna otra organización decide y es responsable de lo que sucede con los datos, entonces es un procesador de datos.
La respuesta a esto es ambas. En virtud de la Directiva de protección de datos 95/46 / CE, solo los responsables del tratamiento son responsables del incumplimiento de la protección de datos. Sin embargo, el Reglamento General de Protección de Datos de la UE (GDPR) logrará un equilibrio al asignar obligaciones directas también a los procesadores de datos.
De acuerdo con el artículo 83, en caso de incumplimiento, se pueden aplicar multas tanto a los controladores como a los procesadores. Estas multas se impondrán en relación con “el grado de responsabilidad del responsable o encargado del tratamiento teniendo en cuenta las medidas técnicas y organizativas que implementen”.
Esto representa un cambio significativo y aumentará drásticamente el perfil de riesgo para las entidades, como los proveedores de centros de datos y la nube, que actúan como procesadores de datos. Sin embargo, el impacto también lo sentirán los controladores que contraten sus servicios, ya que el mayor costo de cumplimiento puede conducir a un aumento consecuente en el costo de los servicios de los procesadores. Los controladores también deberán estar más atentos a los procesadores con los que interactúan y asegurarse de que cuentan con las medidas técnicas y operativas necesarias para cumplir con el RGPD.
Ahora que hemos establecido que tanto el controlador como el procesador compartirán las obligaciones de protección de datos, profundicemos en sus responsabilidades.
El responsable del tratamiento es la parte principal de las responsabilidades de recopilación de datos. Estas responsabilidades del controlador incluyen la recopilación del consentimiento del individuo, el almacenamiento de los datos, la gestión de la revocación del consentimiento, la habilitación del derecho de acceso, etc. Debe poseer la capacidad de demostrar el cumplimiento de los principios relacionados con el procesamiento de datos personales. Estos principios se enumeran en el GDPR como "legalidad, equidad y transparencia, minimización de datos, precisión, limitación e integridad del almacenamiento y confidencialidad de los datos personales".
El GDPR proporciona detalles adicionales sobre cómo las organizaciones pueden demostrar que sus actividades de procesamiento son legales.
Si una persona revoca el consentimiento, el controlador será responsable de iniciar esta solicitud. Por lo tanto, al recibir esta solicitud, se le pedirá al procesador que elimine los datos revocados de sus servidores.
Si hay varias organizaciones que comparten las responsabilidades del controlador para el procesamiento de datos personales, el RGPD de la UE incluye la existencia de controladores conjuntos. Se espera que el controlador conjunto determine sus respectivas responsabilidades de controlador por acuerdo y proporcione el contenido de este acuerdo a los interesados, definiendo los medios de comunicación con los procesadores con un único punto de contacto. El RGPD hace que los controladores conjuntos sean totalmente responsables.
La Directiva saliente exime a los responsables del tratamiento de responsabilidad por los daños que surjan en casos de fuerza mayor o circunstancias imprevisibles que les impidan cumplir con su acuerdo contractual. El GDPR no contiene tal exención, lo que significa que los controladores pueden asumir el riesgo en casos de fuerza mayor.
El responsable del tratamiento deberá registrar todas las violaciones de datos. Están obligados a revelar cualquier violación de datos a las autoridades encargadas de hacer cumplir el RGPD cuando lo soliciten. Dado que es probable que el plazo de 72 horas para informar las filtraciones de datos resulte extremadamente desafiante para el controlador de datos, los expertos aconsejan a las organizaciones que designen a una persona para que asuma la responsabilidad de revisar y notificar las filtraciones de datos, e implementar políticas y procedimientos claros de notificación de filtraciones de datos, según sea necesario.
Se espera que el controlador trabaje solo con aquellos procesadores que tienen las medidas técnicas y organizativas apropiadas para cumplir con las pautas de GDPR. En otras palabras, los controladores de datos, es decir, los clientes de los procesadores de datos, solo elegirán procesadores que cumplan con el RGPD o se arriesgarán a recibir sanciones.
A medida que las autoridades de supervisión imponen sanciones a los controladores por falta de una verificación adecuada, los procesadores pueden verse obligados a obtener certificaciones de cumplimiento independientes para tranquilizar a los controladores que desean hacer uso de sus servicios. También es posible que deban tomar medidas para proteger los datos, como el cifrado y la seudonimización, la estabilidad y el tiempo de actividad, la copia de seguridad y la recuperación ante desastres, y las pruebas de seguridad periódicas. Es probable que los procesadores ubicados fuera de la UE se resistan a la imposición de estas nuevas obligaciones, lo que podría dificultar que los controladores designen legalmente a los procesadores deseados, lo que resultará en una negociación más compleja de acuerdos de subcontratación.
El procesador tiene prohibido utilizar los datos personales que se le confían para fines distintos a los descritos por el controlador de datos. Previa solicitud, el procesador debe eliminar o devolver todos los datos personales al controlador al final del contrato de servicio.
Puede transferir datos personales a un tercer país solo después de recibir la autorización legal.
Tiene que obtener un permiso por escrito del controlador antes de contratar a un subcontratista y asumir la responsabilidad total por fallas de los subcontratistas en el cumplimiento del RGPD.
El procesador tiene que habilitar y contribuir a las auditorías de cumplimiento realizadas por el controlador o un representante del controlador.
Si hay una violación de datos, se espera que el procesador notifique a los controladores de datos sin demoras indebidas.
Además, se requiere que un procesador mantenga un registro de las actividades de procesamiento de datos si califica para cualquiera de los siguientes criterios:
Los procesadores también deberán revisar los acuerdos de procesamiento de datos existentes para asegurarse de que han cumplido con sus obligaciones de cumplimiento bajo el GDPR.
El concepto de un "responsable de la protección de datos" (DPO) para las organizaciones que procesan datos personales ha sido un requisito obligatorio en algunos países y una mejor práctica en otros. Sin embargo, el RGPD hará obligatorio el nombramiento de un DPO para las organizaciones, independientemente de su tamaño o de si están procesando datos personales en su calidad de controlador de datos o procesador de datos en determinadas circunstancias.
Según el GDPR (artículo 37), hay tres escenarios principales en los que el nombramiento de un DPO por parte de un controlador de datos o procesador de datos es obligatorio:
Las actividades principales aquí se refieren a las actividades operativas clave de un controlador o procesador. Esto no incluye las actividades de apoyo, como la nómina o el soporte de TI, que son funciones auxiliares.
Las organizaciones tienen en cuenta una serie de factores al determinar si su procesamiento es "a gran escala". Éstos incluyen:
El seguimiento regular y sistemático incluye todas las formas de seguimiento y elaboración de perfiles en Internet. Sin embargo, no está restringido al entorno en línea y también podría incluir la actividad fuera de línea. El seguimiento "regular" significará que está en curso o que se realiza a intervalos particulares durante un período determinado; recurrente o repetido en momentos fijos o que tiene lugar de manera constante o periódica. El monitoreo "sistemático" se refiere al monitoreo que ocurre de acuerdo con un sistema, preestablecido, organizado o metódico, que se lleva a cabo como parte de un plan general para la recopilación de datos o se lleva a cabo como parte de una estrategia.
También es importante tener en cuenta que, si una organización no cumple con los requisitos del RGPD, sino de forma voluntaria decide nombrar un DPO, entonces se seguirán aplicando los mismos requisitos que se aplican a los DPO obligatorios. Si una organización decide no nombrar a un DPO, se recomienda documentar esos motivos con claridad.
Si bien el GDPR no especifica sus credenciales precisas, se espera que un oficial de protección de datos tenga suficiente experiencia profesional y conocimiento de la ley de protección de datos. Esta experiencia debe ser proporcional al tipo de procesamiento que lleva a cabo la organización y al nivel de protección que requieren los datos personales.
Descargo de responsabilidad: tenga en cuenta que en este blog hemos proporcionado información básica sobre el RGPD. WSI no es una autoridad legal para GDPR y solo puede ofrecer consejos sobre las mejores prácticas a seguir al llevar a cabo cualquier iniciativa de marketing digital. Sin embargo, para obtener asesoramiento sobre la interpretación legal de esta ley para su negocio, comuníquese con un funcionario legal o de protección de datos.
La forma en que las organizaciones recopilan, almacenan y usan los datos personales se rige por las reglas y regulaciones del GDPR. Las pautas estipuladas por el GDPR incluyen:
La transparencia total con respecto a la divulgación de cómo se utilizan los datos es obligatoria para todas las organizaciones en el Reino Unido. En caso de que un interesado solicite más información sobre cómo se almacenan, utilizan y distribuyen sus datos, se le debe informar dentro de un período de tiempo específico según lo estipulado por el RGPD.
Las organizaciones deben indicar las razones por las que están usando la información del interesado y solo se puede usar, almacenar y procesar para este propósito y solo para este propósito, a menos que, por supuesto, el interesado estipule y acuerde lo contrario. Sin embargo, esto no se aplica tan estrictamente a la información recopilada con fines científicos, estadísticos o históricos.
Como sugiere el nombre, solo se deben utilizar los datos necesarios para los fines para los que se recopilaron. En otras palabras, los datos recopilados no deben almacenarse simplemente para un escenario "por si acaso". Debe usarse cuando se necesite de acuerdo con los requisitos de la organización. Cualquier información adicional que se mantenga por encima de esta se considera ilegal.
La precisión de la información es primordial para cumplir con las regulaciones estipuladas por el GDPR. Los interesados también tienen derecho a solicitar que se elimine la información incorrecta dentro de los 30 días si su información es incorrecta, incompleta o desactualizada.
Los datos solo deben almacenarse durante el tiempo que la organización necesite la información para el propósito para el que se pretendía utilizar. Debe haber un marco establecido para fines de revisión para garantizar que la información desactualizada se elimine del sistema. Esto no se aplica a los datos que se almacenan con fines históricos o estadísticos.
Las organizaciones deben asegurarse de que la información personal de los interesados esté protegida en todo momento. Esto da crédito a la capacidad de la organización para manejar los datos personales con integridad y les da a los interesados la tranquilidad de saber que su información personal no será expuesta en línea ni interferida por piratas informáticos que utilizan malware y métodos de phishing para obtener datos de forma ilegal.
La rendición de cuentas precede a la transparencia. Esto significa que las organizaciones deben poder demostrar que han tomado las medidas necesarias y han seguido las pautas estipuladas por el GDPR para asegurarse de que exhiben el principio de transparencia.
Algunas de estas pautas de manejo de datos incluyen implementar y evaluar las pautas del GDPR, nombrar un supervisor a cargo de la protección de datos, así como garantizar que se obtenga el consentimiento requerido en todo momento para fines de procesamiento de datos.
Google controla los datos y no es un procesador de datos, lo que significa que los datos no necesariamente necesitan ser almacenados y pueden borrarse en cualquier momento sujeto a los acuerdos que Google tiene con sus editores externos. Por lo tanto, una organización está implícitamente vinculada por estas pautas, si es el tercero que recopila y almacena información.
El procesador asimila y compila los datos recopilados y procesa estos datos bajo la guía y la autoridad del controlador de datos con el objetivo final de obtener claridad sobre cómo se está desempeñando la empresa.
El procesador de datos cae bajo el controlador de datos y generalmente es un tercero que se adquiere para procesar los datos en nombre del controlador de datos que controla para qué se utiliza la información.
El controlador de datos, en esencia, supervisa cómo se utilizan los datos, controla y supervisa las funciones del procesador de datos y garantiza que los datos se utilizan, almacenan y procesan de acuerdo con las directrices del RGPD.
También supervisan el proceso desde la obtención del consentimiento de datos hasta la habilitación del uso de datos para los fines requeridos. Determinan cómo se utilizarán los datos y qué datos específicos se necesitan para cumplir con el propósito y los objetivos de la organización.
Un controlador de datos controlará cómo se recopilan los datos de los interesados, se asegurará de que se obtenga el consentimiento requerido de los usuarios y designará un oficial de protección de datos para asegurarse de que toda la información permanezca confidencial según se rige por el GDPR.
El controlador de datos puede ser cualquier persona física, organización u otro organismo autorizado que sea responsable de cómo se controlan los datos; ellos determinan para qué se utilizan los datos y es la persona (generalmente el administrador o el propietario del sitio web) a la que informa el procesador de datos.
El período de tiempo que una organización puede conservar los datos lo determina el interesado. Pueden solicitar el borrado completo de sus datos en cualquier momento, y la organización debe cumplir.
Existe una jerarquía y un lugar en el que cae el controlador de datos que, a primera vista, puede parecer estar en la parte superior del nivel. Normalmente y en un mundo perfecto, los controladores de datos estarían en la parte superior de la jerarquía como un papel destacado bajo la Junta Europea de Protección de Datos, debajo de eso, estarán las autoridades de supervisión que se encuentran bajo las Autoridades de Protección de Datos, y debajo de ellas los procesadores de datos.
Sin embargo, categorizar la ubicación de un controlador de datos no es tan sencillo ya que la posición del controlador de datos tiene muchas funciones, ya que también pueden (si es necesario) procesar datos. Por otro lado, la parte superior de la estructura jerárquica podría y debería pertenecer a los interesados ya que sus derechos y la protección de los mismos es lo que es de suma importancia para el RGPD.
El RGPD afectará a las organizaciones de muchas formas, más allá de las políticas y la seguridad de los datos. Las empresas que se verán afectadas deben buscar ayuda o asesoramiento legal si es necesario. Como mínimo, necesitan un plan de acción claro que incluya capacitación sobre GDPR, revisando su flujo de datos y mecanismos de procesamiento, una vista previa de sus prácticas y políticas de privacidad, la forma en que aprovechan los datos de terceros y más. Para comenzar a estar listo para GDPR, lo invitamos a descargar nuestra “Lista de verificación de 12 puntos para ayudar a preparar su organización para GDPR” haciendo clic aquí.
https://www.eugdpr.org/
https://gdpr-info.eu/
https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/
http://pwc.blogs.com/data_protection/2017/02/data-protection-officer-do-you-need-to-appoint-one.html
https://www.whitecase.com/publications/article/chapter-10-obligations-controllers-unlocking-eu-general-data-protection