GDPR: ¿quiénes son sus protagonistas?

Posted by media on 15/05/18 9:00

GDPR_PROTAGONISTAS

El nuevo Reglamento Europeo de Protección de Datos (GDPR) amplía las obligaciones de los responsables y encargados de los tratamientos de los datos, los derechos de los interesados y recoge una nueva figura, el Delegado de Protección de datos. Pero, ¿quiénes son los principales organismos y actores afectados por la GDPR?

En el siguiente post abordamos estos y más protagonistas que define esta regulación europea para que podamos conocerla mejor a 10 días de su total aplicación.

Este post también está disponible en inglés.

  Índice

1.- Sujeto de los datos o el interesado

2.- Responsable del tratamiento

3.- Los procesadores de datos 

4. -Delegado de Protección de Datos 

  Índice

1.- Sujeto de los datos o el interesado

2.- Responsable del tratamiento

3.- Los procesadores de datos 

4. -Delegado de Protección de Datos 

 

GDPR: principales figuras

El Reglamento General de Protección de Datos Europeo, aprobado en 2016 pero de plena aplicación a partir del próximo 25 de mayo, responde a un aumento de los ciberataques y una búsqueda de colaboración entre las entidades públicas y privadas para remediarlo.

Así en este artículo, vamos a intentar describir los diferentes roles y las responsabilidades que describe esta importante norma:

 

1.- Sujeto de los datos o el interesado

En la traducción oficial al español del Reglamento, en vez de hablar del “sujeto o titular de los datos” (data subject, en la versión original en inglés), se habla del “interesado”. Serían los individuos que se encuentren en la Unión Europa cuyos datos son tratados.

Seríamos todos nosotros, personas naturales que podemos ser distinguidos con derechos sobre nuestros datos personales.

Sujeto_datos_personales_interesado


2.- Responsable del tratamiento

El artículo 4 de la GDPR define al responsable del tratamiento de datos como una persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determina los fines y los medios del tratamiento de datos personales.

Como su nombre indica es el responsable del tratamiento de los datos personales pero también de su protección.

El aspecto clave aquí es 'control'. Incluso si los datos no están bajo la posesión de la organización, será, a los fines de la GDPR, el responsable de los datos si tiene control sobre los datos.

El responsable de datos es responsable de determinar los fines para los que se utilizan los datos personales y qué protección de privacidad debe implementarse. Es el responsable de  recopilar los datos personales y determina la base legal para hacerlo. También determina por cuánto tiempo retener los datos.

Las obligaciones de los responsables se establecen en el artículo 24 del Reglamento.

Éstas incluyen:

  • Implementación de medidas técnicas y organizativas apropiadas para garantizar el procesamiento legal de datos personales
  • Implementar políticas adecuadas de protección de datos
  • Llevar a cabo una evaluación de impacto de privacidad cuando sea necesario
  • Adherirse a los códigos de conducta elaborados por las autoridades de supervisión en los Estados miembros (como el ICO en el Reino Unido)
  • Considere la protección de datos por diseño y por defecto en las actividades de procesamiento
  • Demostrar el cumplimiento del Reglamento. Los controladores pueden designar solo aquellos procesadores que garanticen el cumplimiento de los requisitos del GDPR.

El controlador puede designar procesadores para diversas tareas.

 

3. Los procesadores de datos 

Son personas físicas o jurídicas, autoridades públicas u otras agencias y organismos que procesan datos personales en nombre del responsable. Por ejemplo, el responsable puede tener un proveedor de TI externo que determina dónde se almacenan los datos y qué controles técnicos se implementan. Esa empresa de TI será el procesador de datos. O bien, el controlador puede pasar algunos datos personales a una agencia de marketing para campañas de correo electrónico dirigidas. Esa agencia es un procesador de datos en lo que respecta a los datos de la campaña.

Otros ejemplos de procesadores serían las compañías de procesamiento de nómina, los proveedores de SaaS, los proveedores de servicios en la nube e incluso las empresas que brindan servicios en torno a la eliminación segura de datos personales.

En resumen, cualquier proveedor de servicios que obtenga acceso a los datos personales, controlado por la otra organización, es un procesador de datos.

GDPR_procesadores_datos_personales

 

El GDPR ha cambiado estas disposiciones de modo que tanto los controladores de datos como los procesadores de datos sean solidariamente responsables de garantizar la protección de los datos personales. Para el incumplimiento de los requisitos de GDPR, tanto los controladores como los procesadores pueden ser penalizados.

En consecuencia, los riesgos para los procesadores de datos han aumentado significativamente. El grado de responsabilidad y los costos de cumplimiento de los procesadores de datos también pueden aumentar si, por ejemplo, los controladores requieren que los procesadores adquieran la certificación de seguridad o implementen controles técnicos u organizativos adicionales.

Es importante que el procesamiento de datos personales siempre se maneje de acuerdo con contratos escritos que deberá indicar:

  • el sujeto de la materia
  • la duración del procesamiento
  • la naturaleza y el propósito del procesamiento
  • el tipo de datos personales a tratar
  • las obligaciones y derechos del encargado del tratamiento

Los procesadores también deben implementar controles técnicos y organizacionales apropiados. Además, los procesadores deben cumplir con los múltiples requisitos establecidos en el Artículo 28.

Estos incluyen:

  • El procesamiento debe estar regido por un contrato u otras disposiciones legales que sean vinculantes para los procesadores
  • Adherirse a los códigos de conducta o mecanismos de certificación para demostrar el cumplimiento
  • No involucrar a otros procesadores sin autorización previa del controlador
  • Si el primer procesador designa a otros procesadores, se aplicarán las mismas obligaciones de protección de datos que se aplican al primer procesador

 

4. - Delegado de Protección de Datos

El RGPD dedica una sección entera a esta nueva figura dada la relevancia que tiene, conocida popularmente como DPO (por sus siglas en inglés, Data Protection Officer).

Es un garante del cumplimiento de la normativa de la protección de datos en las organizaciones, sin sustituir las funciones que desarrollan las Autoridades de Control.

Esta figura no es obligatoria para todas las organizaciones, solo tendrán que contar con un delegado:

  • las empresas públicas
  • las que tengan un tratamiento a gran escala o las que recojan datos especialmente
  • sensibles o relativos a condenas o infracciones penales.

Sus funciones se regulan en el artículo 39 del RGPD, y entre ellas destacan las siguientes:

  • Supervisar la implementación y aplicación de las políticas internas
  • Realizar formación al personal
  • Organizar y coordinar las auditorías
  • Gestionar la información de los interesados y las solicitudes presentadas en el ejercicio de sus derechos
  • Velar por la conservación de la documentación
  • Supervisar la realización de la evaluación de impacto
  • Actuar como punto de contacto para la autoridad de control

 

Autoridad de Control: la autoridad pública independiente establecida por un Estado miembro con arreglo a lo dispuesto en el artículo 51.

Autoridad de control interesada: la autoridad de control a la que afecta el tratamiento de datos personales debido a que: a) el responsable o el encargado del tratamiento está establecido en el territorio del Estado miembro de esa autoridad de control; b) los interesados que residen en el Estado miembro de esa autoridad de control se ven sustancialmente afectados o es probable que se vean sustancialmente afectados por el tratamiento, o c) se ha presentado una reclamación ante esa autoridad de control

Comité Europeo de Protección de Datos. El Comité está compuesta por una autoridad de control de cada Estado miembro (28) y del Supervisor Europeo de Protección de Datos. La función del Comité será revisar lo que está funcionando y lo que no está funcionando y también dar asesoramiento y orientación.

 

Conclusión

Con el GDPR surgen nuevos roles, como la figura del DPO (Data Protection Officer), nuevas responsabilidades y más derechos a los usuarios.

Gracias a la creación de este marco legal común se construye una barrera extra de seguridad del principal activo corporativo de muchas empresas, los datos personales, a la vez que se ofrece un mayor control de los mismo por parte de los sujetos de los datos. Así que aunque ahora pueda parecer todo un desafío para el sector empresarial sin duda es un win to win para todos en general.

Este post también está disponible en inglés.


New Call-to-action 

Tags: GDPR

Subscríbete al blog

Últimos posts