5 min
Posted by media on 15/05/18 9:00
El nuevo Reglamento Europeo de Protección de Datos (GDPR) amplía las obligaciones de los responsables y encargados de los tratamientos de los datos, los derechos de los interesados y recoge una nueva figura, el Delegado de Protección de datos. Pero, ¿quiénes son los principales organismos y actores afectados por la GDPR?
En el siguiente post abordamos estos y más protagonistas que define esta regulación europea para que podamos conocerla mejor a 10 días de su total aplicación.
Este post también está disponible en inglés.
Índice 1.- Sujeto de los datos o el interesado |
Índice 1.- Sujeto de los datos o el interesado |
El Reglamento General de Protección de Datos Europeo, aprobado en 2016 pero de plena aplicación a partir del próximo 25 de mayo, responde a un aumento de los ciberataques y una búsqueda de colaboración entre las entidades públicas y privadas para remediarlo.
Así en este artículo, vamos a intentar describir los diferentes roles y las responsabilidades que describe esta importante norma:
En la traducción oficial al español del Reglamento, en vez de hablar del “sujeto o titular de los datos” (data subject, en la versión original en inglés), se habla del “interesado”. Serían los individuos que se encuentren en la Unión Europa cuyos datos son tratados.
Seríamos todos nosotros, personas naturales que podemos ser distinguidos con derechos sobre nuestros datos personales.
Como su nombre indica es el responsable del tratamiento de los datos personales pero también de su protección.
El aspecto clave aquí es 'control'. Incluso si los datos no están bajo la posesión de la organización, será, a los fines de la GDPR, el responsable de los datos si tiene control sobre los datos.
El responsable de datos es responsable de determinar los fines para los que se utilizan los datos personales y qué protección de privacidad debe implementarse. Es el responsable de recopilar los datos personales y determina la base legal para hacerlo. También determina por cuánto tiempo retener los datos.
Las obligaciones de los responsables se establecen en el artículo 24 del Reglamento.
Éstas incluyen:
El controlador puede designar procesadores para diversas tareas.
Son personas físicas o jurídicas, autoridades públicas u otras agencias y organismos que procesan datos personales en nombre del responsable. Por ejemplo, el responsable puede tener un proveedor de TI externo que determina dónde se almacenan los datos y qué controles técnicos se implementan. Esa empresa de TI será el procesador de datos. O bien, el controlador puede pasar algunos datos personales a una agencia de marketing para campañas de correo electrónico dirigidas. Esa agencia es un procesador de datos en lo que respecta a los datos de la campaña.
Otros ejemplos de procesadores serían las compañías de procesamiento de nómina, los proveedores de SaaS, los proveedores de servicios en la nube e incluso las empresas que brindan servicios en torno a la eliminación segura de datos personales.
En resumen, cualquier proveedor de servicios que obtenga acceso a los datos personales, controlado por la otra organización, es un procesador de datos.
El GDPR ha cambiado estas disposiciones de modo que tanto los controladores de datos como los procesadores de datos sean solidariamente responsables de garantizar la protección de los datos personales. Para el incumplimiento de los requisitos de GDPR, tanto los controladores como los procesadores pueden ser penalizados.
En consecuencia, los riesgos para los procesadores de datos han aumentado significativamente. El grado de responsabilidad y los costos de cumplimiento de los procesadores de datos también pueden aumentar si, por ejemplo, los controladores requieren que los procesadores adquieran la certificación de seguridad o implementen controles técnicos u organizativos adicionales.
Es importante que el procesamiento de datos personales siempre se maneje de acuerdo con contratos escritos que deberá indicar:
Los procesadores también deben implementar controles técnicos y organizacionales apropiados. Además, los procesadores deben cumplir con los múltiples requisitos establecidos en el Artículo 28.
Estos incluyen:
El RGPD dedica una sección entera a esta nueva figura dada la relevancia que tiene, conocida popularmente como DPO (por sus siglas en inglés, Data Protection Officer).
Es un garante del cumplimiento de la normativa de la protección de datos en las organizaciones, sin sustituir las funciones que desarrollan las Autoridades de Control.
Esta figura no es obligatoria para todas las organizaciones, solo tendrán que contar con un delegado:
Sus funciones se regulan en el artículo 39 del RGPD, y entre ellas destacan las siguientes:
Autoridad de Control: la autoridad pública independiente establecida por un Estado miembro con arreglo a lo dispuesto en el artículo 51. Autoridad de control interesada: la autoridad de control a la que afecta el tratamiento de datos personales debido a que: a) el responsable o el encargado del tratamiento está establecido en el territorio del Estado miembro de esa autoridad de control; b) los interesados que residen en el Estado miembro de esa autoridad de control se ven sustancialmente afectados o es probable que se vean sustancialmente afectados por el tratamiento, o c) se ha presentado una reclamación ante esa autoridad de control Comité Europeo de Protección de Datos. El Comité está compuesta por una autoridad de control de cada Estado miembro (28) y del Supervisor Europeo de Protección de Datos. La función del Comité será revisar lo que está funcionando y lo que no está funcionando y también dar asesoramiento y orientación. |
Con el GDPR surgen nuevos roles, como la figura del DPO (Data Protection Officer), nuevas responsabilidades y más derechos a los usuarios.
Gracias a la creación de este marco legal común se construye una barrera extra de seguridad del principal activo corporativo de muchas empresas, los datos personales, a la vez que se ofrece un mayor control de los mismo por parte de los sujetos de los datos. Así que aunque ahora pueda parecer todo un desafío para el sector empresarial sin duda es un win to win para todos en general.
Este post también está disponible en inglés.
¿Necesitas más información?
Contacta con nosotrosSubscríbete a nuestra newsletter
Subscríbete a nuestra newsletter
Digitalizar tu empresa con Signaturit es muy fácil. Regístrate en nuestra newsletter y recibe 1 email a la semana con nuestros mejores consejos, eventos y novedades de producto.
¡Únete a las miles de empresas que ya han digitalizado sus departamentos de recursos humanos!
© Copyright Signaturit 2022
Made in Europe