GDPR Learning Hub

Menú
  • Take quizzes
  • Download guides
  • Buy courses
  • Buy Templates
  • GDPR-Courses are under construction

FUNCIONES - RGPD

Los procesadores desempeñan un papel importante en el marco del RGPD

Cuando un agente trata datos personales en nombre de un responsable del tratamiento, el tratamiento tiene lugar en calidad de «encargado del tratamiento» de datos personales. Puede ser una empresa, una organización o un organismo público que trate datos personales en calidad de encargado del tratamiento. Lo que es crucial para el papel es que no es el procesador quien decide cómo y por qué se deben procesar los datos personales.

Instrucciones del controlador

El controlador da instrucciones a los procesadores sobre cómo procesar los datos personales. Las instrucciones se documentarán por escrito. Además, el responsable y el encargado del tratamiento deben celebrar un acuerdo de tratamiento de datos entre sí. Este requisito se establece en el artículo 28 del RGPD. Además, el acuerdo debe ser por escrito para que sea válido. 

No está permitido que el procesador procese los datos personales para ningún propósito propio. Además, es el responsable del tratamiento quien determina la finalidad del tratamiento. La descripción del trabajo puede ser muy limitada o general.

What breaches of the GDPR can lead to an administrative fine?

Ejemplos

    • Un ejemplo de posiciones delimitadas es en el caso de la externalización del envío de correo. 
    • Un ejemplo de una posición generalmente limitada puede ser un auditor que realiza el pago del salario de la entidad usuaria a sus empleados (gestión salarial).

  • Tenga en cuenta que puede haber casos en los que una instrucción del controlador viole el RGPD. Si el encargado del tratamiento lo considera, informará al responsable del tratamiento y tendrá derecho a interrumpir el tratamiento hasta que se investigue el asunto. 

Ejemplos de empresas que a menudo procesan datos personales en el papel de procesador

  • Empresas de contabilidad 
  • Agencias de marketing
  • Agencias de programación 
  • Laboratorio 
  • Proveedor de servicios de almacenamiento en la nube
  • Proveedor de sistemas financieros o contables 
  •  

Los procesadores tienen varias obligaciones bajo el RGPD

Measures that companies need to take to comply with GDPR

Concluir un acuerdo de procesamiento de datos por escrito

Un procesador debe celebrar un acuerdo de procesamiento de datos con el controlador. Esto se establece en el artículo 28, apartado 3, del RGPD y el contrato debe cumplir los requisitos mínimos especificados. Además, el acuerdo de tratamiento de datos debe ser por escrito para que sea válido en virtud del artículo 28, apartado 9, del RGPD. Este requisito escrito difiere de muchos otros tipos de contratos, que son igualmente válidos oralmente como escrito.

What is the definition of anonymised data?

Contenido de un acuerdo de tratamiento de datos

En el acuerdo de tratamiento de datos, las partes regularán, entre otras cosas: la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y las categorías de interesados, así como las obligaciones y los derechos del responsable del tratamiento. El contenido mínimo que debe contener el acuerdo de tratamiento de datos para ser válido se establece en el artículo 28, apartado 3, del RGPD.

Subjektivt integritetskänsliga personuppgifter

Autorización por escrito para el uso de subencargados del tratamiento

Es posible que un procesador de datos contrate a otro procesador de datos. Un denominado «subprocesador». Por ejemplo, si un procesador está programando aplicaciones, pero no es bueno en estadísticas y por lo tanto quiere contratar a otra agencia para ayudar con esto específicamente. Por otro lado, un subprocesador solo puede ser contratado por un procesador después de que el controlador haya dado su consentimiento previo. Este requisito se establece en el artículo 28, apartado 2, del RGPD.

Contratos con subprocesadores

Con arreglo al artículo 28, apartado 4, del RGPD, es evidente que el encargado del tratamiento debe celebrar un acuerdo de tratamiento de datos con los subencargados del tratamiento contratados. Esto debe hacerse antes de que un subprocesador comience a procesar datos personales en nombre del controlador. Si el subencargado del tratamiento no cumple sus obligaciones en materia de protección de datos, el encargado original será plenamente responsable ante el responsable del tratamiento del cumplimiento de las obligaciones del subencargado.

Sensitive personal data according to GDPR

Lista de instrucciones

Las empresas que procesan datos personales deben poder demostrar que cumplen con el RGPD, independientemente de si procesan datos personales en el papel de procesador o controlador. Por ejemplo, un encargado del tratamiento debe elaborar una lista de las instrucciones que ha recibido de los responsables del tratamiento.

Obligaciones de los transformadores

Los encargados del tratamiento deben llevar un registro del tratamiento de datos personales en determinados casos.

Como regla general, las empresas más pequeñas que son procesadoras no necesitan mantener un registro de sus operaciones de procesamiento. Sin embargo, es posible que tengan que hacerlo, a pesar de que no es una gran empresa. Por ejemplo, si el tratamiento implica un alto riesgo para los derechos y libertades de los interesados. Lo mismo se aplica al tratamiento de datos personales sensibles. 

Las empresas con 250 o más empleados deben mantener un registro para el procesamiento. Tenga en cuenta que debe ser por escrito y estar disponible en formato electrónico. Además, la empresa lo pondrá a disposición de la autoridad nacional de protección de datos previa solicitud. Así se establece en el artículo 30 del RGPD.

Notificar al controlador de cualquier violación de datos personales

Una violación de datos personales es un tipo de incidente de seguridad. Implica la destrucción accidental o ilícita, la pérdida, la alteración, la divulgación no autorizada o el acceso a los datos personales transmitidos, almacenados o tratados de otro modo. Si se produce una violación de datos personales en el procesador, deben informar al controlador en consecuencia. Además, se hará sin demora indebida. Es entonces el responsable del tratamiento quien puede tener que notificar la infracción a la autoridad de control en un plazo de 72 horas. 

Adoptar las medidas técnicas y organizativas adecuadas para proteger los datos personales

Al igual que los responsables del tratamiento, un encargado del tratamiento debe proteger los datos personales que trata adoptando las medidas técnicas y organizativas adecuadas. Por ejemplo, cifrando archivos, implementando permisos de usuario, autenticación multifactor, etc. 

La relación real determina si una empresa es un procesador o un controlador

El hecho de que una empresa considere que es un procesador de datos y, por lo tanto, celebre un acuerdo de procesamiento de datos con un controlador de datos, no significa que sea automáticamente un procesador. En otras palabras, es la relación real la que determina el papel en el que se procesan los datos personales, no lo que figura en un contrato celebrado entre las partes. 

Una empresa puede ser tanto un controlador de datos como un procesador de datos para diferentes actividades de procesamiento.

Una empresa puede ser el controlador de ciertas actividades de procesamiento, como el procesamiento de los datos personales de sus empleados. Además, la empresa puede ser un procesador de datos para algunos de sus procesos que realiza para sus clientes. En otras palabras, una empresa puede ser tanto un controlador como un procesador, dependiendo de la actividad de procesamiento en cuestión. 

Cuando finaliza la prestación de servicios de tratamiento

Los encargados del tratamiento suprimirán todos los datos personales tratados en nombre del responsable del tratamiento una vez finalizada la prestación de los servicios de tratamiento. Alternativamente, los datos personales se devolverán al responsable del tratamiento. El responsable del tratamiento tiene derecho a elegir entre estas dos medidas, de conformidad con el artículo 28, apartado 3, letra g), del RGPD. Además, el encargado del tratamiento se asegurará de que se destruyan todas las copias de los datos personales que obren en su poder. Tenga en cuenta, sin embargo, que en algunos casos el controlador puede necesitar continuar procesando datos personales, si así lo requiere una obligación legal.

MÁS SOBRE LOS PAPELES

Delegado de protección de datos (DPD)

Algunas empresas necesitan tener un oficial de protección de datos bajo RGPD. Los responsables de protección de datos tienen un papel importante en la empresa y deben, entre otras cosas, llevar a cabo comprobaciones, dar consejos y recomendaciones en el ámbito de la protección de datos. Además, tanto los interesados como los empleados deben poder ponerse en contacto con el delegado de protección de datos en caso de cualquier pregunta relativa al tratamiento de datos personales por parte de la empresa. El delegado de protección de datos puede realizar varias tareas dentro de la empresa, siempre que no exista conflicto de intereses. Un ejemplo podría ser si una persona en la gestión es un delegado de protección de datos.

¿Quieres saber más?

Leer más
Scroll al inicio