FUNCIONES EN EL RGPD
El controlador es un papel central bajo el RGPD
El controlador es un papel central bajo el RGPD. Tanto las personas físicas como jurídicas pueden ser responsables del tratamiento de datos. Lo mismo se aplica a las autoridades e instituciones. A continuación, puede leer más sobre lo que significa ser un controlador, que es un papel central bajo el RGPD.
“Procesador” o “responsable del tratamiento”.
Cuando una empresa trata datos personales, lo hace en calidad de «encargado del tratamiento» o de «responsable del tratamiento». No es un individuo que trabaja en la empresa quien tiene el papel, sino la empresa como tal. Sin embargo, los individuos pueden tener tal papel en ciertos casos. Por ejemplo, las personas que dirigen una empresa unipersonal.
Lo que determina quién es el controlador
Lo que determina quién desempeña el papel de controlador de datos se evalúa en función de la determinación del procesamiento. El responsable del tratamiento es quien determina los medios y fines del tratamiento. Es decir, el que decide cómo y por qué deben tratarse los datos personales. Por lo tanto, se trata de determinar quién determina la finalidad del tratamiento de los datos personales y cómo debe hacerse.
Controlador conjunto
Es posible que dos o más empresas sean corresponsables del tratamiento. Tenga en cuenta que es importante regular la relación entre ellos para poder cumplir con las obligaciones que los responsables del tratamiento tienen en virtud del RGPD. Por ejemplo, respetar los derechos de los interesados.
De conformidad con el artículo 26 del RGPD, los corresponsables del tratamiento regularán entre sí su «acuerdo conjunto». Para demostrar el cumplimiento del artículo 26 del RGPD, los corresponsables del tratamiento deben celebrar un acuerdo escrito entre sí. En el acuerdo, pueden regular cómo cumplir con sus responsabilidades como responsables del tratamiento de datos y cómo debe llevarse a cabo el tratamiento.
Asignar responsabilidad
No es posible que un responsable del tratamiento transfiera su responsabilidad por el tratamiento de datos personales. Sin embargo, es posible transferir la ejecución del procesamiento a otro actor. En otras palabras, un controlador de datos siempre tiene esa función bajo el RGPD para el procesamiento específico en cuestión.
Sin embargo, un controlador puede contratar a un procesador de datos de conformidad con el artículo 28 del RGPD e instruir al procesador para que procese los datos personales de cierta manera. En este caso, el procesamiento es llevado a cabo por el procesador, pero en nombre del controlador. Y se llevará a cabo de acuerdo con las instrucciones de los controladores. El procesamiento en sí es posible transferirlo a otra persona para que lo lleve a cabo, pero sigue siendo el controlador quien ha decidido cómo y por qué se deben procesar los datos personales.
Adoptar las medidas técnicas y organizativas adecuadas
El responsable del tratamiento debe asegurarse de que trata los datos personales de forma segura. Los datos personales estarán protegidos contra la destrucción, pérdida o alteración accidental o ilícita. También se adoptarán medidas de protección contra la divulgación o el acceso no autorizados a los datos personales transmitidos, almacenados o tratados de otro modo. Esto se hará mediante la aplicación de diversas medidas técnicas y organizativas adecuadas. Cuanto más sensibles sean los datos personales, mayores serán los requisitos de seguridad.
Ejemplos de medidas técnicas y organizativas
Autenticación multifactor para inicio de sesión
Cifrado de archivos
Permisos de usuario
Almacenamiento de copia de seguridad
Los controladores deben tener un registro de las actividades de procesamiento en ciertos casos
Algunas empresas que son controladores de datos deben mantener un registro de sus operaciones de procesamiento de datos personales. Lo mismo se aplica a los procesadores de datos personales. Según el artículo 30 del RGPD, debe ser por escrito y estar disponible en formato electrónico. En caso de solicitud de la autoridad nacional de supervisión, esta se pondrá a disposición de la autoridad de supervisión.
Cuando la empresa tenga 250 o más empleados, la empresa elaborará un registro de las actividades de tratamiento. Además, las empresas más pequeñas deben hacerlo si tratan datos personales sensibles o si el tratamiento puede suponer un riesgo para los derechos y libertades de los interesados. Esto está sujeto a la condición de que no se refiera al tratamiento temporal. Sin embargo, esto no significa que las empresas más pequeñas necesiten mantener un registro de todos los procesos, solo porque un procesamiento cumpla con el requisito. En cambio, solo necesitan mantener registros de los procesamientos que cumplen con el requisito.
Si una empresa tiene empleados y, por lo tanto, procesa su baja por enfermedad, la empresa procesa datos personales sensibles (datos de salud). Como este procesamiento se lleva a cabo regularmente y no es temporal, la empresa debe mantener un registro de esta actividad de procesamiento específica.
Los individuos pueden ser controladores de datos y procesadores de datos
Puede ser un individuo privado que es un controlador de datos o procesador de datos. Por ejemplo, si usted es un propietario único. Lo mismo se aplica si una persona ha instalado una cámara en su propiedad o apartamento, que está filmando un lugar público. En tales casos, también puede ser un requisito que la persona primero necesite obtener permiso para su vigilancia con cámara de la autoridad competente. Muchas personas cometen el error de tener una campana de la puerta de timbre con una cámara dirigida a una carretera pública. Tenga en cuenta que es más sensible si la cámara apunta a la puerta principal de otra persona, ya que esto significa que es posible monitorear cuando salen de su casa o regresan a casa.
MÁS SOBRE LAS FUNCIONES EN RGPD
Empresas que procesan datos personales en el papel de procesador de datos de acuerdo con RGPD
Una empresa actúa como procesador de datos bajo el RGPD, cuando procesa datos personales en nombre de otra empresa. Ser encargado del tratamiento de datos significa que usted trata los datos personales siguiendo las instrucciones de otra persona. Por ejemplo, una empresa de contabilidad trata datos personales en nombre de su cliente, que aparecen en las facturas o nóminas del cliente, con el fin de gestionar las cuentas del cliente. En tales casos, la empresa de contabilidad es el procesador de datos en el momento de procesar dichos datos, y el cliente es el controlador de datos. Tenga en cuenta que la empresa de contabilidad, por otro lado, es el controlador de datos cuando procesa los datos personales de sus propios empleados.