¿Cuál es el rol del controlador de datos en GDPR?

El controlador de datos es alguien que determina los medios de procesamiento de datos personales (el beneficiario real de los datos, alguien que controla, revisa, compara y agrega los datos) mientras los procesadores de datos almacenan, digitalizan y catalogan toda la información en nombre de los controladores de datos.

En algunos casos, especialmente cuando una empresa almacena los datos en su propia infraestructura y tiene control total sobre los datos, las funciones de controlador de datos y procesador de datos se superponen y son cumplidas por una entidad.

Aunque tanto el controlador de datos como el procesador de datos son responsables de manejar los datos personales de manera legal, cada actor tiene obligaciones ligeramente diferentes.

Bajo GDPR, como controlador de datos está obligado a:

1) Ser capaz de demostrar que sus procedimientos de procesamiento de datos están en línea con la regulación (que incluirá el cumplimiento de los principios de protección de datos enumerados en el Art. 5 (1), es decir, legalidad, imparcialidad y transparencia; Limitación del propósito; Minimización de datos; Precisión ; Limitación de almacenamiento; e integridad y confidencialidad).

2) Asegúrese de que los interesados ​​puedan ejercer sus derechos, enumerados en el texto de la regulación (aquí puede encontrar una infografía informativa sobre esos derechos bajo el RGPD: Derechos de los sujetos de datos: lo que necesita saber).

3) Implemente medidas que faciliten el cumplimiento de GDPR (una llamada ‘privacidad por diseño’) y garantice que el procesamiento se limite al mínimo necesario (privacidad por defecto).

4) Notifique a la autoridad de supervisión y a todas las partes afectadas en caso de cualquier violación de datos o posible riesgo de violación de la privacidad de datos con retraso indebido (72 horas).

5) Ser capaz de demostrar el consentimiento del interesado para procesar sus datos personales: la solicitud debe presentarse de forma fácilmente accesible y ser claramente distinguible de otros asuntos.
Creo que esta infografía creada por mi equipo puede arrojar algo más de luz sobre cómo debería ser el flujo de consentimiento del sujeto de procesamiento de datos:

* 6) Nombrar un Oficial de Protección de Datos (DPO) – alguien, cuya función es garantizar que su empresa cumpla con la normativa. No es obligatorio para todos. Sin embargo, el requisito se aplica a usted cuando: usted es una autoridad u organismo público, sus actividades principales consisten en operaciones de procesamiento que requieren un monitoreo regular y sistemático de los sujetos de datos a gran escala, o el procesamiento a gran escala de categorías de datos ( está establecido en los artículos 37 a 39).

* Suena ambiguo, ¿verdad? Espero que esta publicación de blog escrita por Aurelie Pols en nuestro blog pueda ayudarlo a evaluar si la regla se aplica en su caso: ¿Nombrar un DPO – Oficial de Protección de Datos – o no?

Related Content

Cómo lidiar con la falta de disponibilidad de datos o datos incorrectos para resolver problemas de ciencia de datos

¿Cómo se usa el aprendizaje automático en genómica?

¿Cómo es un día típico para un científico de datos en LinkedIn?

¿Qué tan malo es estandarizar variables ficticias?

¿Deberían los individuos ser compensados ​​por los datos que generan? ¿Podría ser posible un negocio que facilite la recopilación y generación de datos a través de la participación individual en análisis e investigación de big data?

Según la actual Directiva de protección de datos de la UE:

  • solo el controlador es responsable del cumplimiento de la protección de datos, no el procesador
  • cualquier procesamiento debe ser: (a) regido por un contrato escrito; (b) llevado a cabo de acuerdo con las instrucciones del controlador; y (c) sujeto a medidas de seguridad apropiadas
  • Con el fin de protegerse contra riesgos de cumplimiento innecesarios, en general, un controlador buscará pasar sus responsabilidades al procesador a través del acuerdo de procesamiento de datos
  • independientemente de la existencia de cualquier acuerdo de procesamiento de datos, los controladores siguen siendo legalmente responsables de cualquier incumplimiento causado por las acciones de sus procesadores de datos
  • Las autoridades de supervisión no tienen poderes de aplicación directa contra los procesadores.

En contraste, el RGPD impone obligaciones legales directas a los procesadores de datos. Estas obligaciones significan que los procesadores de datos pueden estar sujetos a la aplicación directa por parte de las autoridades de supervisión, multas serias por incumplimiento y reclamos de compensación por parte de los interesados ​​por cualquier daño causado por el incumplimiento del GDPR. Estas obligaciones incluyen:

  • Acuerdos de procesamiento de datos : los procesadores solo pueden procesar datos personales en nombre de un controlador cuando existe un contrato por escrito que impone una serie de términos obligatorios en el procesador de datos, tal como se establece en el GDPR.
  • Subprocesadores : los procesadores no pueden activar un subprocesador sin la autorización previa por escrito del controlador.
  • Instrucciones del controlador : los procesadores solo pueden procesar datos personales de acuerdo con las instrucciones del controlador.
  • Responsabilidad : los procesadores deben mantener registros de las actividades de procesamiento de datos y ponerlos a disposición de la autoridad supervisora ​​que lo solicite.
  • Cooperación : los procesadores deben cooperar con la autoridad supervisora.
  • Seguridad de los datos : los procesadores deben tomar las medidas de seguridad adecuadas e informar a los controladores de cualquier violación de datos sufrida.
  • Oficiales de protección de datos : los procesadores deben, en circunstancias específicas, designar un oficial de protección de datos.
  • Transferencias transfronterizas : los procesadores deben cumplir con las restricciones relativas a las transferencias transfronterizas.
  • Sanciones : los procesadores no conformes corren el riesgo de multas de hasta el 4% de la facturación anual global.

El RGPD también hace que los controladores y procesadores de datos sean responsables solidariamente. Esto significa que, cuando un controlador o procesador ha pagado una compensación completa por el daño sufrido, ese controlador o procesador tendrá derecho a reclamar al otro controlador o procesador involucrado, esa parte de la compensación correspondiente a su responsabilidad por el daño.

¿Cuál es el impacto para las organizaciones?

El RGPD logra un equilibrio más uniforme entre las responsabilidades que se les asignan a los controladores y procesadores de datos. Esto representa un cambio significativo y aumentará drásticamente el perfil de riesgo de las entidades, como los proveedores de la nube y el centro de datos, que actúan como procesadores de datos.

Este cambio afectará no solo a los procesadores, sino también a los controladores que los involucran. Es probable que se preste más atención a la negociación de acuerdos de procesamiento de datos, ya que los procesadores buscan garantizar que: (a) los mayores costos de cumplimiento se reflejen en el costo de sus servicios; (b) el alcance de las instrucciones del controlador es claro; y (c) el aumento de los riesgos se asigna adecuadamente entre las partes.

Algunos procesadores también pueden desear revisar sus acuerdos de procesamiento de datos existentes, para asegurarse de que hayan cumplido con sus propias obligaciones de cumplimiento bajo el GDPR.

¿Qué acción se requiere?

Es probable que los cambios tarden en implementarse y tanto los controladores como los procesadores de datos deben actuar con anticipación para:

  • Identifique, revise y, cuando sea necesario, revise sus acuerdos de procesamiento de datos para asegurarse de que cumplen con GDPR. Cualquier acuerdo nuevo debe acordarse de acuerdo con los requisitos del GDPR. Aquí está el curso en línea BRIEFED GDPR
  • Considerar mecanismos para resolver disputas con respecto a responsabilidades respectivas para resolver reclamos de compensación, dada la nueva disposición que permite la responsabilidad conjunta por violaciones de protección de datos.
  • Asegúrese de contar con documentación clara y procedimientos de grabación para demostrar que cumple con los estándares requeridos. Implemente medidas para preparar y mantener registros de las actividades de procesamiento de su organización.
Kris Gösser

En general, los controladores de datos actúan de forma independiente el uno del otro. Sin embargo, a veces dos o más controladores determinan conjuntamente los propósitos y los medios de procesamiento y se consideran, de acuerdo con el GDPR, ‘controladores conjuntos’.

En consecuencia, deben concluir un acuerdo que estipule, al menos, lo siguiente:

  • sus respectivas responsabilidades para el cumplimiento de las obligaciones bajo el GDPR;
  • si se considera necesario, designación de un punto de contacto para los interesados;
  • Los roles y las relaciones de los controladores conjuntos con respecto a los interesados.

Sin embargo, independientemente de los términos del acuerdo:

  • los interesados ​​pueden ejercer sus derechos bajo el RGPD con respecto y en contra de cada uno de los controladores;
  • los controladores son responsables conjuntamente del daño causado por el procesamiento que infringe el GDPR;
  • un controlador conjunto puede estar exento de responsabilidad solo si demuestra que no es de ninguna manera responsable del daño;
  • Si un controlador paga una compensación total a los interesados, entonces puede reclamar a los otros controladores involucrados su parte de la compensación.

Echa un vistazo a nuestro blog también:

http://www.testingxperts.com/blo

Mariana Diachuk

Como se define en el Capítulo 1, Artículo 4 del RGPD,

“‘Controlador’ significa la persona física o jurídica, autoridad pública, agencia u otro organismo que, sola o conjuntamente con otros, determina los propósitos y medios del procesamiento de datos personales; cuando los fines y los medios de dicho procesamiento estén determinados por la legislación de la Unión o del Estado miembro, el controlador o los criterios específicos para su nominación podrán ser previstos por la legislación de la Unión o del Estado miembro “.

Básicamente, un controlador de datos es una persona que decide la naturaleza y el objetivo final para el que se procesarán los datos. La persona que toma las fotos en cuanto a qué hacer con los datos y cómo.

La función del controlador es controlar los códigos de conducta cuando se trata del procesamiento de datos.

Para obtener más información sobre los controladores de datos y GDPR, puede consultar esta Guía definitiva de GDPR para profesionales .

Kris Gösser

Según lo tomado del propio reglamento: [1]

«responsable del tratamiento»: la persona física o jurídica, la autoridad pública, la agencia u otro organismo que, sola o conjuntamente con otros, determina los propósitos y medios del procesamiento de datos personales; cuando los fines y los medios de dicho procesamiento estén determinados por la legislación de la Unión o del Estado miembro, el controlador o los criterios específicos para su nominación podrán ser previstos por la legislación de la Unión o del Estado miembro;

Tenemos una publicación de blog sobre GDPR. Está dedicado a los remitentes de correo electrónico y tiene la intención de aclarar las cosas para enviar correos electrónicos, ya que tratamos con correos electrónicos fríos, pero creo que puede aprender mucho de ellos. Compruébelo: GDPR – Guía práctica de regulación general de protección de datos

Notas al pie

[1] http://ec.europa.eu/justice/data

Vova Asadchiy

En pocas palabras, un controlador de datos es la entidad que determina los propósitos, condiciones y medios del procesamiento de datos personales.

No importa si una empresa es un controlador de datos o un procesador de datos, está obligado a respetar los derechos individuales al procesar los datos personales confiados a la empresa.

Más información relevante aquí: Reglamento general de protección de datos de la UE y cómo afectará a su empresa

Kris Gösser

El controlador de datos (DC) decide lo que está permitido.

Eso incluye la mayoría de las preguntas de W.
¿Por qué se requiere procesamiento?
¿Qué datos se necesitan?
¿Quién requiere acceso?
¿Dónde está permitido el procesamiento?

Solo el DC puede cambiar las respuestas a esas preguntas, de ahí la palabra ‘Controlador’.

El procesador de datos (DP) lleva a cabo el procesamiento. Eso podría incluir responder la pregunta H ‘¿cómo se logra esto?’.

Hay una pregunta W más.
¿Qué medidas de seguridad son apropiadas?
Lo separé porque DC y DP tienen la responsabilidad conjunta de garantizar la seguridad. En la práctica, eso significa que negocian sobre los controles, pero el DC todavía tiene que estar de acuerdo.

Pediste ejemplos reales. Ahí es donde ayuda la mnemónica W.

Imagine que el DP encuentra un nuevo uso para los datos (por qué), que requiere permiso del DC. Del mismo modo, si desean capturar datos adicionales (qué), enviarlos a destinatarios adicionales (quién) o mover el procesamiento (dónde).

La seguridad es un caso especial porque el DP puede mejorar la seguridad sin permiso, pero en la práctica el DP también le preguntará al DC sobre eso.

El DC tiene obligaciones adicionales que puedo explicar si la explicación anterior es insuficiente.

Kris Gösser

Todas excelentes respuestas hasta ahora.

Una adición complementaria rápida: para aquellos que trabajan en el cuidado de la salud, puede pensar en un controlador de datos dentro de GDPR como una entidad cubierta según lo definido por HIPAA. Ellos son basicamente lo mismo.

Kris Gösser

Responsabilidad del responsable del tratamiento: Capítulo 4 – Artículos 24 – 34

  • Cumplir con los principios de GDPR
  • Respetar y respetar los derechos de los interesados
  • Determina las actividades de procesamiento y administra el procesador
  • Mantener registros y demostrar cumplimiento
  • Designar un DPO y garantizar la privacidad por diseño
  • Cooperar la autoridad
  • Gestionar controlador conjunto, si lo hay
  • Mantenga la PII segura y sea transparente sobre la violación de datos
Mary Siewierska

Controlador: ” significa la persona física o jurídica, autoridad pública, agencia u otro organismo que, sola o conjuntamente con otros, determina los propósitos y medios del procesamiento de datos personales

El controlador será responsable y podrá demostrar el cumplimiento de los principios relacionados con el procesamiento de datos personales. Estos son: legalidad, justicia y transparencia, minimización de datos, precisión, limitación e integridad del almacenamiento, y confidencialidad de los datos personales.

Para obtener más información sobre GDPR, las leyes HIPAA, me gustaría sugerirle que se una a las comunidades relacionadas con la seguridad cibernética. Software de evaluación de riesgos y ciberseguridad compatible con HIPAA | Opsfolio Community es una de las mejores comunidades a las que solía referirme para temas relacionados con la seguridad cibernética. Archivos de infografías | Opsfolio: esta página en la comunidad mencionada es una referencia muy interesante para las amenazas cibernéticas, especialmente para varios tipos de ransomware.

Kris Gösser

El controlador es alguien (persona física o jurídica, autoridad pública, agencia u otra entidad) que determina los propósitos de recopilar datos personales, así como los medios para procesarlos.

Según el GDPR, los controladores de datos son responsables de garantizar que las actividades de procesamiento de datos dentro de sus empresas cumplan con los nuevos requisitos. No solo deben implementar medidas técnicas y organizativas apropiadas para lograr el cumplimiento, sino que también deben estar preparados para demostrar, previa solicitud, que todas sus actividades de procesamiento son correctas.

La legislación obliga a los controladores a abordar los Principios de protección de datos tanto en la fase de planificación de las actividades de procesamiento como en la fase de implementación de los mismos.

Aquí hay más información sobre el tema y el GDPR en general.

¡Espero eso ayude!

Vova Asadchiy

Los “controladores de datos” se definen como cualquier “persona, autoridad pública, agencia u otro organismo que, solo o junto con otros, determina los propósitos y medios de procesamiento de datos personales”. Se estima que esto representa hasta el 80 por ciento de las empresas en el mundo y casi cualquier proveedor de la nube. Por ejemplo, si sus clientes se registran utilizando una dirección de correo electrónico, número de teléfono, identificación personal, detalles de la tarjeta de crédito, etc., usted es el Controlador de datos, de acuerdo con las normas GDPR. Significa que usted es responsable de la seguridad de los datos personales de sus usuarios.

Investigamos profundamente esta pregunta y resumimos las ideas centrales aquí

Lara Vandooren

En nuestro último blog sobre GDPR y lo que significa para las empresas, cubrimos los roles de controlador y procesador de datos: eche un vistazo aquí ¿La mayor amenaza para las empresas del Reino Unido desde Brexit? – Estar en violación de GDPR!

Chloe Pearson

7 principios que debe conocer para cumplir con el GDPR >>
¿Estás listo para el GDPR 2018?

Kris Gösser

En contraste, el RGPD impone obligaciones legales directas a los procesadores de datos. Estas obligaciones significan que los procesadores de datos pueden estar sujetos a la aplicación directa por parte de las autoridades de supervisión, multas serias por incumplimiento y reclamos de compensación por parte de los interesados ​​por cualquier daño causado por el incumplimiento del GDPR. Reglamento general de protección de datos

Mariana Diachuk

Hola,

Si desea obtener más información sobre el GDPR, este artículo puede ser interesante de leer.

¿Está su empresa lista para el RGPD?

Victor AA

More Interesting

¿Los datos grandes son más útiles que los datos pequeños?

¿Cuáles son algunos materiales de lectura de calidad para la ciencia de datos?

¿Qué campo debo elegir, redes informáticas o ciencia de datos? Amo los dos.

Cómo extraer datos de Twitter fácilmente

¿Cómo continuaría preparándose para una entrevista de ciencia de datos sobre estructuras de datos y algoritmos en R?

¿Qué se siente ser un científico de datos en Tesla?

¿Qué es lo primero que haces al mirar un nuevo conjunto de datos?

MATLAB: ¿Cómo utilizan realmente las compañías el código generado por Matlab / Statistica en la producción?

¿Existe un papel significativo para el big data en la economía?

¿Cuál es su consejo para un par de desarrolladores que van a comenzar una pequeña empresa de análisis de datos?

¿Puedo convertirme en un buen científico de datos o ingeniero de aprendizaje automático si no tengo experiencia de mercado en el desarrollo de software?

¿Cuál es el paquete de software más útil para aprender sobre pronósticos de series de tiempo y análisis de regresión?

¿Necesito ser un analista de datos para obtener un trabajo en el campo de aprendizaje automático?

¿Cuáles son algunas buenas academias en línea como Jigsaw que proporcionan certificación para Big Data Analytics?

¿Cómo es ser un científico de datos en Apple?