Obligaciones del procesador y el controlador según el RGPD: una hoja de trucos

Publicado: 2021-08-18

Continuando con nuestra serie de blogs sobre el próximo Reglamento general de protección de datos (GDPR), vamos a dedicar unos minutos a describir las diferentes obligaciones que el GDPR impone a los controladores de datos y procesadores de datos , y luego lo dejaremos con una hoja de trucos con algunos datos rápidos. puntos de acción para ayudarlo a identificar qué tareas, específicamente, puede necesitar asegurarse de tener implementadas para el cumplimiento.

Pero primero, algunas definiciones.

El GDPR define un controlador de datos en el Artículo 4 (6) como:

La persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determine los fines y medios del tratamiento de datos personales”

Considerando que un encargado del tratamiento (artículo 4, apartado 7) es:

"La persona física o jurídica, autoridad pública, agencia u otro organismo que procesa datos personales en nombre del controlador"

Para dar un ejemplo más concreto: si usted es un minorista en línea de widgets y Jane Doe se registra en su lista de correo con la esperanza de aprender más sobre sus widgets (o tal vez merodear hasta que tenga una oferta), es probable que recopile su dirección de correo electrónico, y tal vez otra información de contacto, cuando se registre. ¡Felicidades! Acaba de convertirse en controlador de los datos personales de Jane Doe. Ella aceptó recibir mensajes de marketing de usted y usted, como controlador de datos, puede determinar cuándo y cómo enviar esos correos electrónicos.

Ahora digamos que en realidad no envía sus propios correos electrónicos de marketing, tal vez contrate a un proveedor de servicios de correo electrónico (ESP) para que lo ayude a crear su contenido, programar los correos electrónicos y realizar un seguimiento e informar sobre la entrega. El ESP no tendría derecho a hacer lo que quisiera con los datos de Jane, solo tendría derecho a ayudarlo a redactar sus campañas, enviar sus correos electrónicos, etc., a pedido suyo. El ESP, en este caso, es el procesador de datos.

Más adelante, decide hacer un esfuerzo de marketing de marca compartida con su Socio A cercano (lo que en este caso está bien, porque cuando Jane se registró, obtuvo su consentimiento para compartir sus datos con el Socio A para este propósito). A través del proceso de negociación, decidió utilizar el ESP del Socio A en lugar del suyo para enviar la campaña. Entonces, envía su lista de suscriptores (incluidos los datos de Jane) a su socio, quien la carga en su ESP. Los correos electrónicos se envían.

Al compartir los datos de Jane con el Socio A para actividades de marketing conjuntas, ha convertido al Socio A en un controlador conjunto de los datos de Jane. El socio A seguirá utilizando los datos de Jane fuera del alcance de su relación con Jane. El ESP del Socio A sigue siendo un procesador de datos y tendrá que cumplir con los requisitos tanto suyos como los del Socio A, pero también acaba de introducir algunas complejidades en su relación con Jane que el GDPR requerirá que realice un seguimiento.

Según el RGPD, como propietarios de sus datos, a los interesados ​​se les otorgan derechos, tales como: (Tenga en cuenta que esta no es una lista completa).

  • Artículo 15 (derecho de acceso): Jane podría escribirle y solicitarle una copia de los datos personales que ha recopilado de ella. Usted, como controlador de datos, deberá cumplir con esta solicitud dentro de los 30 días posteriores a la recepción de su solicitud;
  • Artículo 16 (derecho a rectificación): si Jane encuentra que los datos que tiene sobre ella son inexactos o incompletos, podría pedirle que los actualice (como cambiar su dirección de correo electrónico o cambiar la ortografía de su nombre en su base de datos);
  • Artículo 17 (derecho a borrar): Jane podría pedirle que borre sus datos por completo. Tal vez esté retirando su consentimiento para recibir mensajes suyos en el futuro, o tal vez piense que las campañas a las que le está dirigiendo van en la dirección equivocada y quiere comenzar de cero;
  • Artículo 18 (derecho a la restricción del procesamiento): tal vez haya comenzado a rastrear las aperturas y clics de Jane (rastreo basado en el comportamiento), pero Jane no cree que haya dado su consentimiento para permitirle hacer eso (según el GDPR, el rastreo basado en el comportamiento) requerirá consentimiento. No puede simplemente asumir que puede hacerlo). Jane puede pedirles que dejen de rastrear sus aperturas y clics hasta que ustedes dos resuelvan lo que ella realmente consintió;
  • Artículo 20 (derecho a la portabilidad de datos): en algunos casos, Jane tiene derecho a pedirle que comprima sus datos y los transfiera a uno de sus competidores. (¡Sí! De verdad. Esto tiene como objetivo ayudar a Jane a transferir sus datos, por ejemplo, de un proveedor de telefonía móvil a otro, o para mover su presencia en las redes sociales fácilmente de una aplicación a otra. Si está procesando sus datos a través de "el rendimiento de un contrato ”o“ basado en el consentimiento ”, esta disposición podría aplicarse a usted.

Si Jane decide ejercer sus derechos y le pide que elimine sus datos, en el paradigma controlador-procesador único, es bastante sencillo. Elimina sus datos de su sistema y le pide a su procesador (su ESP) que también los elimine del de ellos.

Sin embargo, en el modelo de controlador conjunto, según el artículo 17 (2), no solo deberá eliminarlo de su infraestructura y la de su procesador, sino que también deberá:

"Tomar medidas razonables, incluidas medidas técnicas, para informar a los responsables del tratamiento que están procesando los datos personales que el interesado ha solicitado el borrado"

En otras palabras, deberá mantener registros muy cuidadosos de dónde envió los datos de Jane e iniciar solicitudes de eliminación de datos en nombre de Jane a cualquier otro controlador conjunto que pueda tener sus datos. Esos controladores conjuntos también deberán comunicarse con los procesadores que utilicen y eliminar los datos de Jane de esos sistemas también.

Y ese es solo el comienzo de sus obligaciones como procesadores de datos y controladores de la información de Jane. Consulte a continuación para obtener una lista rápida de lo que se requerirá en virtud del GDPR, junto con dónde puede encontrar más detalles en el GDPR.

Seguridad de datos
 Obligaciones del controlador:Implementar medidas técnicas y organizativas adecuadas para proteger la seguridad de los datos.

  • Cifrado, seudonimización de datos si procede
  • Capacidad para garantizar la confidencialidad, integridad y resistencia de los datos.
  • Proceso para probar, evaluar y evaluar la seguridad con regularidad.
  • Documente sus esfuerzos.

Obligaciones del procesador:Implementar medidas técnicas y organizativas adecuadas para proteger la seguridad de los datos.

  • Cifrado, seudonimización de datos si procede
  • Capacidad para garantizar la confidencialidad, integridad y resistencia de los datos.
  • Proceso para probar, evaluar y evaluar la seguridad con regularidad.
  • Documente sus esfuerzos.

Artículo del RGPD:Arte. 32 Seguridad del procesamiento

Notificación de incumplimiento
 Obligaciones del controlador:

  • Informar a la autoridad supervisora ​​dentro de las 72 horas posteriores a la infracción si es probable que exista un alto riesgo para los interesados.
  • Aviso al sujeto de datos, si corresponde

Obligaciones del procesador:

  • Informar al controlador sin demoras indebidas al enterarse de una infracción

Artículos del RGPD:Arte. 33 Notificación de violación de datos
Arte. 34 Comunicación de una violación de datos al interesado

Principios del procesamiento de datos
 Obligaciones del controlador:

  • Garantizar que los datos se procesen de manera legal y transparente para el interesado.
  • Asegurar que los datos recopilados y procesados ​​para fines específicos, y no de una manera incompatible con los fines originales.
  • Asegúrese de que los datos recopilados sean precisos y estén actualizados
  • Asegúrese de poder demostrar el cumplimiento

Artículos del RGPD:Arte. 5 Principios relacionados con el procesamiento de datos personales
Arte. 6 Legalidad del tratamiento

Aviso de Privacidad
 Obligaciones del controlador:

  • Debe estar disponible para el interesado.
  • Describa qué datos se recopilarán y con qué fines.
  • Detalle los destinatarios que recibirán los datos, incluido si se transferirán fuera del EEE y cómo se protegerán los datos con la transferencia posterior.
  • Si existe algún interés legítimo en la recopilación y / o procesamiento de los datos.
  • Describa los períodos de retención y / o almacenamiento de datos, o los criterios utilizados para determinar los períodos de retención.
  • Describa los derechos del interesado y cómo un interesado puede ejercer sus derechos.
  • Detalles sobre los usos de la toma de decisiones automatizada.

Artículos del RGPD:Arte. 12 Información, comunicación y modalidades transparentes para el ejercicio de los derechos del interesado
Arte. 13 Información que debe proporcionarse cuando se recopilen datos personales del interesado
Arte. 14 Información que debe proporcionarse cuando los datos personales no se hayan obtenido del interesado

Requisitos contractuales con procesador
 Obligaciones del controlador:

  • Emplee solo procesadores que puedan cumplir con las regulaciones de GDPR.
  • Emplee únicamente procesadores que puedan proteger adecuadamente los datos de los interesados.
  • Describa el tema, la duración y la naturaleza de la actividad de procesamiento.
  • Describa la naturaleza y el propósito del procesamiento.
  • Describa los tipos de datos personales que se procesan.
  • Describa las categorías de sujetos de datos que se procesan.

Obligaciones del procesador:

  • Procesar los datos únicamente según las instrucciones documentadas del responsable del tratamiento.
  • Asegúrese de que todas las personas autorizadas para procesar los datos se hayan comprometido con acuerdos de confidencialidad.
  • Ayudar al controlador en el manejo de las solicitudes de derechos de acceso del sujeto de datos
  • Ayudar al controlador con las obligaciones relacionadas con la seguridad y las solicitudes de las autoridades supervisoras.
  • Estar disponible y ser capaz de ayudar al controlador con las obligaciones de cumplimiento.
  • Eliminar o devolver todos los datos a solicitud o requisito del controlador
  • Describa cualquier transferencia de datos fuera del EEE y describa las salvaguardas que protegerán los datos.
  • Contribuir a las auditorías realizadas por el controlador u otra autoridad requerida
  • Asegúrese de que cualquier contratación de subprocesadores cumpla con las mismas obligaciones requeridas por el controlador.
  • Involucrar a los subprocesadores solo después de la aprobación del controlador.

Artículos del RGPD:Arte. 24 Responsabilidades del controlador
Arte. 28 Procesador
Arte. 29 Tratamiento bajo la autoridad del responsable o encargado del tratamiento

Adoptar prácticas de protección de datos
 Obligaciones del controlador:

  • Ser capaz de demostrar los principios de minimización de datos y la protección de datos por diseño y / o se utilizan por defecto, si corresponde.
  • Llevar a cabo evaluaciones del impacto de la privacidad en cualquier actividad de procesamiento que pueda representar un riesgo para el interesado.

Artículos del RGPD:Arte. 5 Principios relacionados con el procesamiento de datos personales
Arte. 25 Protección de datos por diseño y por defecto
Arte. 35 Evaluación de impacto de protección de datos

Conservar registros de las actividades de procesamiento
 Obligaciones del controlador:

  • Nombre / información de contacto del controlador de datos y el DPO, o representante de la UE
  • Documentar las categorías de sujetos de datos, categorías de datos personales y destinatarios de los datos.
  • Documentar la base legal para cualquier transferencia de datos fuera del EEE y describir las salvaguardas que protegerán los datos.
  • Plazos de conservación de datos
  • Documentar la base legal para las actividades de procesamiento de datos.

Obligaciones del procesador:

  • Nombre / información de contacto del controlador de datos y el DPO
  • Categorías de tratamiento realizado para el responsable del tratamiento

Artículo del RGPD:Arte. 30 registros de actividades de procesamiento

Esto es mucho para asimilar y puede parecer mucho trabajo. Pero a largo plazo, lo mantendrá a usted y a sus socios en cumplimiento de la legislación europea y protegerá los derechos de sus interesados. ¿Busca más información sobre el RGPD? Puede encontrar más información en la categoría GDPR en nuestro blog y en nuestro seminario web a pedido: El camino hacia GDPR.