Cuesta creer que nos estemos acercando al primer aniversario del GDPR. Tras un periodo de transición de dos años, el GDPR entró en vigor el25 de mayo de 2018 y transformó por completo la forma en que las organizaciones abordan la privacidad de los datos.

La legislación se introdujo para reflejar nuestro mundo cada vez más digitalizado y reconocer los derechos de las personas respecto al uso de sus datos personales.

Muchas organizaciones han dedicado mucho tiempo y esfuerzo a garantizar que cumplen con la nueva legislación, sin embargo, para otras, ha sido un camino más difícil y arduo. Demostrar el cumplimiento del GDPR es un proceso continuo y hay muchos aspectos de la legislación que aún requieren aclaración y pueden resultar confusos para las organizaciones.

Dos términos que oímos constantemente en relación con el GDPR son «Responsables del tratamiento» y «Encargados del tratamiento». Es importante entender la distinción entre estos dos términos, ya que determinará sus responsabilidades en virtud de la legislación.

La distinción entre un responsable y un encargado del tratamiento de datos puede tener importantes consecuencias en el mundo real. Si una organización está implicada en el procesamiento de datos, es vital que establezca las funciones y responsabilidades en una fase temprana para evitar cualquier confusión en caso de que se produzca una violación de datos. Esto ayudará a garantizar que no haya lagunas en las responsabilidades y que las organizaciones puedan hacer frente a estas cuestiones de manera eficiente y eficaz.

¿Qué son los datos personales?

Si su organización procesa datos personales, entonces el GDPR se aplica a usted. La UE define los «datos personales» como cualquier información que pueda utilizarse para identificar directa o indirectamente a una persona (sujeto de los datos). Esto incluirá todo, desde un nombre, una dirección de correo electrónico, una dirección IP e imágenes. También incluye los datos personales sensibles, como los datos biométricos o los datos genéticos, que podrían procesarse para identificar a un individuo.

¿Es usted un «Controlador de datos» o un «Procesador de datos»?

1 6
1 6

    

Si su organización determina los fines y la forma en que se procesan los datos personales, entonces se considera que es un Controlador de Datos.

Los responsables del tratamiento de datos desempeñan un papel clave en el cumplimiento del GDPR debido a los datos personales de clientes y empleados que conservan y recopilan.

Entre las funciones del controlador de datos se incluyen:

  • Facilitar una mayor transparencia en el tratamiento de los datos de privacidad en relación con las solicitudes de los interesados
  • Garantizar el tratamiento de los datos de los interesados dentro de los plazos definidos por el GDPR
  • Realización de evaluaciones de la privacidad y designación de DPO
  • Notificar a las autoridades supervisoras las violaciones de datos en un plazo de 72 horas desde el descubrimiento de la violación
  • Supervisar y responder a los cambios en los mandatos de cumplimiento
  • Sustitución de los campos de datos identificativos por seudónimos y encriptación de los datos personales
  • Mantener registros del tratamiento de datos personales a través de un Registro de Datos Personales
  • Gestionar y gobernar la interacción con terceros en relación con el procesamiento y el tratamiento de datos personales

¿Quién es un procesador de datos y cuáles son sus responsabilidades?

Responsabilidades del procesador de datos

Si una persona, organización, agencia u otro organismo actúa en nombre de un Responsable del Tratamiento, entonces se considera que es un Encargado del Tratamiento.

Entre los ejemplos de un procesador de datos se incluyen:

  • Una agencia externa (Ej: una empresa encargada de eliminar la información de los clientes)
  • Un proveedor en la nube que almacena datos personales
  • Cualquier proveedor de servicios que actúe en su nombre con acceso a los datos personales de un cliente o empleado

Lea también la guía Dummies sobre el Reglamento relativo a la privacidad y las comunicaciones electrónicas

Las funciones del procesador de datos incluyen:

  • Decidir qué sistemas informáticos u otros métodos utilizar para recopilar datos personales
  • Cómo almacenar los datos personales
  • Seguridad de los datos
  • Medios utilizados para transferir datos de una organización a otra
  • Medios utilizados para recuperar datos personales sobre determinados individuos
  • Garantizar que se respeta el método subyacente al calendario de conservación
  • Medios utilizados para borrar/eliminar datos

Los procesadores de datos están sujetos a varias obligaciones nuevas en virtud del GDPR, que incluyen el mantenimiento de medidas que asignen niveles adecuados de seguridad a los datos personales en relación con el riesgo potencial.

Los encargados del tratamiento de datos están obligados a acatar las instrucciones de los responsables del tratamiento de datos, a menos que dichas instrucciones entren en conflicto con el propio GDPR.

¿Puede un responsable del tratamiento ser también un encargado del tratamiento?

Existen ciertas zonas grises en las que las situaciones pueden solaparse, lo que dificulta distinguir si usted es un responsable o un encargado del tratamiento de datos. Sin embargo, la ICO es clara en sus consejos al afirmar: «Una organización no puede ser a la vez responsable y encargado del tratamiento para la misma actividad de tratamiento de datos; debe ser una cosa o la otra.

Esto significa que, para determinar qué organización es responsable de la protección de qué datos, es necesario examinar el tratamiento en cuestión, así como las organizaciones implicadas. También es importante que, en la medida de lo posible, los sistemas y procedimientos distingan entre los datos «propios» de la organización y los datos que procesa en nombre de las demás.»

Sepa también qué es un consentimiento GDPR válido

Para garantizar el pleno cumplimiento del GDPR, las organizaciones tendrán que definir claramente las funciones y responsabilidades para evitar caer en la infracción de la legislación. Si de algún modo no está seguro de cuál es la situación de su organización, debe consultar a un asesor jurídico para obtener más aclaraciones.

MetaPrivacy ha sido diseñado para proporcionar el enfoque de mejores prácticas para el cumplimiento de la privacidad de los datos. Póngase en contacto con nosotros para obtener más información sobre cómo podemos ayudar a su organización a mejorar su estructura de cumplimiento.

DESCARGO DE RESPONSABILIDAD: El contenido y las opiniones de este blog tienen únicamente fines informativos. No pretenden constituir un asesoramiento legal o profesional de otro tipo y no deben ser invocados o tratados como sustitutos de un asesoramiento específico relevante para circunstancias particulares, la Ley de Protección de Datos o cualquier otra legislación actual o futura. MetaCompliance no aceptará ninguna responsabilidad por errores, omisiones o declaraciones engañosas, o por cualquier pérdida que pueda derivarse de la confianza en los materiales contenidos en este blog.