FUNCIONES EN EL RGPD
Diferentes roles según RGPD
Existen diferentes roles según RGPD cuando las empresas procesan datos personales. Todas las empresas que tratan datos personales y están sujetas al RGPD constituyen el tratamiento como «procesador» o «responsable del tratamiento».
Quién debe cumplir con RGPD - Diferentes roles según RGPD
Ejemplos de datos personales son nombres, números de teléfono y otros datos que pueden vincularse a una persona físicamente viva. En otras palabras, la mayoría de las empresas procesan datos personales. Por ejemplo, datos personales pertenecientes a sus clientes y/o empleados. Sin embargo, no es un individuo en la empresa quien es el controlador o procesador. En cambio, es la propia empresa la que tiene ese papel. Sin embargo, un individuo puede ser responsable si, por ejemplo, el individuo dirige una empresa unipersonal. Además, algunas empresas necesitan tener un Oficial de Protección de Datos. A continuación puede leer un resumen de estos diferentes roles bajo RGPD.
Controlador de acuerdo con el RGPD
Es el responsable del tratamiento quien determina la finalidad del tratamiento y el método de tratamiento. Es decir, cómo y por qué deben tratarse los datos personales. No es posible transferir la responsabilidad como controlador a otra persona. Sin embargo, es posible transferir y confiar la realización real del procesamiento de datos personales.
Corresponsable del tratamiento con arreglo al artículo 26 del RGPD
Varios agentes pueden ser corresponsables del tratamiento de conformidad con el artículo 26 del RGPD. Sin embargo, en tales casos es importante regular la relación entre los corresponsables del tratamiento.
Esto se hará con el fin de garantizar que cumplen todas las disposiciones del PIB. Por ejemplo, los derechos de los interesados. En virtud del RGPD, las responsabilidades de los corresponsables del tratamiento deben deducirse de un «acuerdo conjunto». Esto debe ser regulado por escrito, para ser probado.
Procesador según el RGPD
Un procesador procesa datos personales en nombre de otro actor que es el controlador de datos. El encargado del tratamiento solo podrá tratar los datos personales de conformidad con las instrucciones del responsable del tratamiento. Ejemplos de empresas que suelen ser procesadoras:
- Proveedor de servicios en la nube, como almacenamiento en la nube.
- Empresas de contabilidad y proveedor de sistemas de contabilidad.
- Empresas de programación y otros tipos de consultores.
Los procesadores y controladores deben mantener un registro de sus operaciones de procesamiento en ciertos casos
Tanto los procesadores como los controladores deben mantener un registro de sus actividades de procesamiento en ciertos casos. Así se establece en el artículo 30 del RGPD. Si una empresa tiene más de 249 empleados, debe mantener dicho registro. Esto se aplica independientemente de si se trata de un procesador de datos o un controlador de datos. Sin embargo, las empresas más pequeñas también pueden necesitar hacerlo. Por ejemplo, si procesan datos personales sensibles y no son temporales. Por ejemplo, si una empresa tiene empleados y, por lo tanto, procesa la baja por enfermedad, que son datos personales confidenciales.
Tenga en cuenta que la empresa no necesita mantener un registro de todas las actividades de procesamiento. Basta con llevar un registro de las actividades de tratamiento a las que se aplican las obligaciones. Sin embargo, si no está seguro de qué actividades de procesamiento RGPD requiere que se enumeren en un registro, es mejor registrar más actividades de procesamiento que muy pocas.
La diferencia entre controladores y procesadores
Los procesadores reciben instrucciones del controlador sobre por qué y cómo procesar los datos personales. Por lo tanto, el procesador procesa datos personales en nombre de otra parte que es el controlador. Es el responsable del tratamiento quien determina los fines del tratamiento. Esto a su vez significa que el procesador no puede procesar los datos personales en violación de las instrucciones.
El responsable y el encargado del tratamiento celebrarán un acuerdo escrito de tratamiento de datos en el que regulen las normas relativas al tratamiento, de conformidad con el artículo 28 del RGPD. Los acuerdos de procesamiento de datos orales no son válidos bajo el RGPD.
La relación determina si un actor es un controlador o procesador
No es la redacción o el contenido de un acuerdo de tratamiento de datos lo que determina si un agente es o no responsable del tratamiento de datos. Lo mismo se aplica a si el actor es un procesador de datos. Es la relación real entre las partes la que determina los roles. Esto significa que no es posible ponerse de acuerdo sobre quién tendrá qué papel.
Una empresa puede ser un controlador de datos para ciertas operaciones de procesamiento. Y un procesador de datos para otras actividades de procesamiento. Por ejemplo, si una empresa tiene empleados y proporciona un servicio en la nube, donde sus clientes pueden almacenar archivos de copia de seguridad que contienen datos personales. Cuando el proveedor de servicios en la nube procesa datos personales de sus propios empleados, son controladores de datos. Pero al procesar los archivos de copia de seguridad cargados de los clientes, son procesadores de datos.
Delegado de Protección de Datos según el RGPD
Algunas empresas necesitan tener un delegado de protección de datos (DPO). El delegado de protección de datos supervisa el cumplimiento del RGPD por parte de la empresa. Por ejemplo, asesorando a la dirección en el ámbito de la protección de datos y siendo la persona de contacto y cooperando con la autoridad de protección de datos en caso de supervisión. Además, la empresa debe involucrar al DPD al realizar una evaluación de impacto de protección de datos. Lo mismo se aplica si la empresa considera realizar dicha evaluación antes de un nuevo procesamiento de datos personales. Si la empresa nombra a un delegado de protección de datos, este se notificará a la autoridad de control y se registrará en ella.
El controlador o procesador es responsable de garantizar que cumplan con el RGPD. El delegado de protección de datos no tiene ninguna responsabilidad personal al respecto. Además, está prohibido que la empresa penalice al delegado de protección de datos por realizar sus tareas, cuando esto conduzca a algo que, por ejemplo, a la empresa no le gusta. Puede darse el caso de que el delegado de protección de datos aconseje a la empresa que no lleve a cabo un determinado tratamiento que realmente quiera hacer.
Un delegado de protección de datos debe tener ciertos conocimientos para poder desempeñar sus funciones en el cargo. Por ejemplo, el conocimiento de RGPD, el negocio principal de la empresa y poder crear una cultura de protección de datos dentro del negocio. Además, las cualidades personales también pueden desempeñar un papel importante. Es beneficioso si el delegado de protección de datos es un buen líder, que se atreve a hablar frente a grandes grupos y tiene buenas habilidades de comunicación.
El delegado de protección de datos tendrá un cargo independiente en la empresa. Sin embargo, esto no significa que la persona no pueda tener otras obligaciones dentro de la empresa. Esto está permitido, siempre que no haya conflicto de intereses. Por ejemplo, puede haber un conflicto de intereses si una persona en la gestión es también el delegado de protección de datos de la empresa. Otro ejemplo podría ser si una persona toma decisiones en la empresa que se ocupan del negocio principal y se refiere a un procesamiento de datos personales.
MÁS INFORMACIÓN SOBRE RGPD
Diferentes tipos de violaciones de datos personales según RGPD
Según el RGPD, una violación de datos personales significa un incidente de seguridad que conduce a la destrucción, pérdida o alteración accidental o ilegal de datos personales. También puede dar lugar a un acceso no autorizado o a la divulgación de datos personales. Ejemplos de violaciones de datos personales son cuando un ordenador que contiene datos personales se bloquea y no hay copia de seguridad, o correo electrónico mal dirigido que contiene datos personales. Las empresas evitarán las violaciones de la seguridad de los datos personales adoptando las medidas de seguridad técnicas y organizativas adecuadas. Ejemplos de medidas para proteger los datos personales pueden ser tener archivos de respaldo e implementar procedimientos internos para los empleados.