La aplicación del Reglamento General de Protección de Datos (GDPR) de la Unión Europea está cada vez más cerca, 25 de mayo, 2018. Uno de los elementos más discutidos de esta ley son las nuevas directrices que ha establecido para los controladores de datos y procesadores de datos. Si bien el GDPR mantiene algunas de las obligaciones que la Directiva de Protección de Datos impone a ambas partes, también ha introducido algunas nuevas. En este blog, discutiremos las responsabilidades que el GDPR le ha conferido a cada una, y brindaremos información sobre cómo una organización, ya sea un controlador o un procesador, puede comenzar a prepararse para estar listo para GDPR.

¿Quién es un controlador? ¿Cuál es la definición de un procesador?

En el mundo digital actual, la recopilación y el almacenamiento de datos es más una norma que una excepción. Las empresas pueden recopilar datos individuales con fines publicitarios, de marketing, analíticos o de investigación. Cada vez que una empresa recopila y procesa los datos personales de una persona, lo hace como un “controlador” o un “procesador”. En el Capítulo 1, Artículo 4 de la GDPR, los dos se definen a continuación:

‘Controlador’ es “la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determina los propósitos y los medios del procesamiento de los datos personales”.

Procesador se refiere a “una persona física o jurídica, autoridad pública, agencia u otro organismo que procesa datos personales en nombre del controlador”.

Si una organización controla y es responsable de los datos personales que posee, es un controlador de datos. Si, por otro lado, contiene los datos personales, pero alguna otra organización decide y es responsable de lo que sucede con los datos, entonces es un procesador de datos

Controlador frente a procesador: ¿a quién impacta el GDPR?

La respuesta a esto es a ambos. En virtud de la Directiva de protección de datos saliente 95/46 / CE, solo los controladores son responsables del incumplimiento de protección de datos. Sin embargo, el Reglamento General de Protección de Datos de la UE (GDPR) alcanzará un equilibrio al asignar obligaciones directas a los procesadores de datos también.

De conformidad con el artículo 83 , en caso de incumplimiento, las multas pueden aplicarse tanto a los controladores como a los procesadores. Estas multas se impondrán en relación con “el grado de responsabilidad del controlador o procesador teniendo en cuenta las medidas técnicas y organizativas implementadas por ellos “.

Esto representa un cambio significativo y aumentará drásticamente el perfil de riesgo de las entidades, como los proveedores de centros de datos y de la nube, que actúan como procesadores de datos. Sin embargo, el impacto también lo sentirán los controladores que contratan sus servicios ya que el mayor costo de cumplimiento puede conducir a un aumento consiguiente en el costo de los servicios de los procesadores. Los controladores también tendrán que estar muy atentos a los procesadores con los que interactúan y asegurarse de que tengan las medidas técnicas y operativas necesarias para cumplir con el GDPR.

¿Cuáles son las responsabilidades del controlador?

Ahora que hemos establecido que tanto el controlador como el procesador compartirán las obligaciones de protección de datos, profundicemos en sus responsabilidades.

El controlador es la parte principal para las responsabilidades de recopilación de datos. Estas responsabilidades incluyen recopilar el consentimiento individual, almacenar los datos, gestionar la revocación del consentimiento, habilitar el derecho de acceso, etc. Debe poseer la capacidad de demostrar el cumplimiento de los principios relacionados con el procesamiento de datos personales. Estos principios se enumeran en el GDPR como ” legalidad, equidad y transparencia, minimización de datos, precisión, limitación e integridad de almacenamiento y confidencialidad de los datos personales “.

El GDPR proporciona detalles adicionales sobre cómo las organizaciones pueden demostrar que sus actividades de procesamiento son legales.

Si un individuo revoca el consentimiento, el controlador será responsable de iniciar esta solicitud. Por lo tanto, al recibir esta solicitud, se le pedirá al procesador que elimine los datos revocados de sus servidores.

Si hay varias organizaciones que comparten la responsabilidad del procesamiento de datos personales, el GDPR de la UE incluye la existencia de controladores conjuntos. Se espera que el controlador conjunto determine sus responsabilidades respectivas por acuerdo y proporcione el contenido de este acuerdo a los interesados, definiendo los medios de comunicación con los procesadores con un único punto de contacto. El GDPR hace que los controladores conjuntos sean totalmente responsables.

La Directiva saliente exime a los controladores de la responsabilidad por daños que surjan en casos de fuerza mayor o circunstancias imprevisibles que les impidan cumplir su contrato. El GDPR no contiene dicha exención, lo que significa que los controladores pueden asumir el riesgo en casos de fuerza mayor.

El controlador tendrá que registrar todas las violaciones de datos. Están obligados a divulgar cualquier violación de datos a las autoridades que hacen cumplir la GDPR cuando lo soliciten. Dado que el plazo de 72 horas para informar infracciones de datos probablemente sea extremadamente desafiante para el controlador, los expertos aconsejan a las organizaciones que asuman la responsabilidad de revisar e informar infracciones de datos e implementen políticas y procedimientos claros de notificación de violación de datos, según sea necesario.

Se espera que el controlador trabaje solo con aquellos procesadores que tengan las medidas técnicas y organizativas apropiadas para cumplir con las pautas de GDPR. En otras palabras, los controladores de datos, es decir, los clientes de procesadores de datos, solo elegirán procesadores que cumplan con el GDPR, o se arriesgarán a sanciones.

A medida que las autoridades de supervisión imponen sanciones a los controladores por falta de una investigación adecuada, los procesadores pueden verse obligados a obtener certificaciones de cumplimiento independientes para tranquilizar a los controladores que deseen hacer uso de sus servicios. También es posible que necesiten tomar medidas para proteger los datos, como el cifrado y la seudonimización, la estabilidad y el tiempo de actividad, las copias de seguridad y la recuperación de desastres, y las pruebas de seguridad periódicas. Es probable que los procesadores ubicados fuera de la UE se resistan a la imposición de estas nuevas obligaciones, lo que puede dificultar que los controladores designen legalmente a sus procesadores deseados, lo que generará una negociación más compleja de los acuerdos de externalización.

¿Qué debe hacer un procesador para cumplir con GDPR?

El procesador tiene prohibido el uso de datos personales que se le confían para fines distintos a los descritos por el controlador de datos. A petición, el procesador debe eliminar o devolver todos los datos personales al controlador al final del contrato de servicio.

Puede transferir datos personales a un tercer país solo después de recibir la autorización legal.

Tiene que obtener permiso por escrito del controlador antes de contratar a un subcontratista y asumir la responsabilidad total por los fallos de los subcontratistas para cumplir con el GDPR.

El procesador debe habilitar y contribuir a las auditorías de cumplimiento realizadas por el controlador o un representante del controlador.

Si hay una violación de datos, se espera que el procesador notifique a los controladores de datos sin demoras indebidas

También se requiere que un procesador mantenga un registro de las actividades de procesamiento de datos si califica para alguno de los siguientes criterios:

  • Emplea 250 o más personas
  • Procesa datos que “pueden resultar en un riesgo para los derechos y libertades de los interesados”
  • Procesa datos más de vez en cuando
  • Procesa categorías especiales de datos según se describe en el Artículo 9 (1)
  • Procesa datos relacionados con condenas penales

Los procesadores también deberán revisar los acuerdos de procesamiento de datos existentes para asegurarse de que hayan cumplido con sus obligaciones de cumplimiento en virtud del GDPR.

¿Quién debe nombrar un DPO?

El concepto de ‘Oficial de Protección de Datos’ ( DPO ) para las organizaciones que procesan datos personales ha sido un requisito obligatorio en algunos países y la mejor práctica en otros. Sin embargo, el GDPR hará que la designación de un DPO sea obligatoria  para las organizaciones independientemente de su tamaño o si están procesando datos personales en su capacidad de controlador o procesador en determinadas circunstancias.

Bajo el GDPR (Artículo 37), hay tres escenarios principales donde la designación de un DPO por parte de un controlador o procesador es obligatoria:

  1. El procesamiento lo lleva a cabo una  autoridad pública ;
  2. Las actividades centrales del controlador o procesador consisten en operaciones de procesamiento que requieren  un procesamiento regular y sistemático de los sujetos de datos a  gran escala ; o
  3. Las actividades principales del controlador o procesador consisten en el procesamiento a  gran escala de datos sensibles o datos relacionados con  condenas penales / delitos

Las actividades principales aquí se refieren a las actividades operacionales clave de un controlador o procesador. Esto no incluye actividades de apoyo tales como nómina o soporte de TI que son funciones auxiliares.

Las organizaciones tienen en cuenta una serie de factores para determinar si su procesamiento es de “gran escala”. Estos incluyen:
a) el número de interesados ​​en cuestión;
b) el volumen de datos o rango de elementos de datos;
c) la duración del procesamiento; y
d) la extensión geográfica del proceso

El monitoreo regular y sistemático incluye todas las formas de seguimiento y creación de perfiles en Internet. Sin embargo, no está restringido al entorno en línea y también podría incluir actividades fuera de línea. El monitoreo “regular” significará en curso o ocurrirá a intervalos particulares durante un período en particular; recurrente o repetido en tiempos fijos o constantemente o periódicamente. El monitoreo “sistemático” se refiere al monitoreo que se realiza de acuerdo con un sistema, preestablecido, organizado o metódico, que tiene lugar como parte de un plan general para la recopilación de datos, o se lleva a cabo como parte de una estrategia.

También es importante tener en cuenta que si una organización no cumple con los requisitos del GDPR, sino que voluntariamente decide designar un DPO, se aplicarán los mismos requisitos que se aplican a las obligatorias. Si una organización decide no designar un DPO, se aconseja documentar esos motivos con claridad.

Cualificaciones de un Oficial de Protección de Datos

Si bien el GDPR no especifica sus credenciales precisas, se espera que un oficial de protección de datos tenga suficiente experiencia profesional y conocimiento de la ley de protección de datos. Esta experiencia debe ser proporcional al tipo de procesamiento que lleva a cabo la organización y al nivel de protección que requieren los datos personales.

Descargo de responsabilidad: Tenga en cuenta que en este blog, hemos proporcionado información básica sobre el GDPR. WSI no es una autoridad legal para GDPR y solo puede ofrecer asesoramiento sobre las mejores prácticas a seguir mientras lleva a cabo cualquier iniciativa de marketing digital. Sin embargo, para obtener asesoramiento con respecto a la interpretación legal de esta ley para su negocio, acérquese a un funcionario legal o de protección de datos.  

El GDPR afectará a las organizaciones de muchas maneras, más allá de las políticas y la seguridad de los datos. Las empresas que se verán afectadas deben buscar ayuda o asesoría legal si es necesario. Por lo menos, necesitan un plan de acción claro que incluya capacitación en GDPR, revisar su flujo de datos y mecanismos de procesamiento, obtener una vista previa de sus prácticas y políticas de privacidad, la forma en que aprovechan los datos de terceros y más. Para comenzar a estar listo para GDPR, lo invitamos a descargar nuestra “Lista de verificación de 12 puntos para ayudar a preparar su organización para GDPR” haciendo clic aquí .

 

Fuentes: 
https://www.eugdpr.org/
https://gdpr-info.eu/
https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation- gdpr /
http://pwc.blogs.com/data_protection/2017/02/data-protection-officer-do-you-need-to-appoint-one.html
https://www.whitecase.com/publications/article / chapter-10-obligation-controllers-unlocking-eu-general-data-protection