El responsable del tratamiento es la empresa o persona que tiene la facultad de determinar qué ocurre con sus datos.
En muchos países, el “poseedor” de los datos es la empresa que los recopiló. Sin embargo, en otros lugares, como la Unión Europea, el “poseedor” de los datos puede ser una agencia gubernamental o alguna otra entidad.
El controlador de datos determina las decisiones sobre los propósitos y procedimientos de cómo y por qué una empresa/sitio web utilizará los datos. Normalmente, se trata del propietario o administrador del sitio web. Si tienes un sitio web, necesitas estar GDPR obediente. Hay distintos pasos que debe seguir para cumplir con las nuevas regulaciones, incluidas las requeridas por la UE.
El responsable del tratamiento es la persona o empresa que determina con qué finalidades y cómo se tratarán los datos. Por tanto, si su empresa decide “por qué” y “cómo” se deben tratar los datos, es el responsable del tratamiento.
Como controlador de datos, una persona u organización es responsable de garantizar que su procesamiento cumpla con las Reglamento General de Protección de Datos (GDPR).
Esto incluye garantizar que todos los datos procesados en su nombre sean adecuados, precisos, oportunos y seguros.
Obligaciones de los controladores: Ustedes (los controladores individuales) deben acordar quién cumplirá con las obligaciones específicas del controlador por GDPR ya que cada responsable del tratamiento es responsable de su cumplimiento con todas las responsabilidades del RGPD.
El artículo 26 establece que si las partes determinan conjuntamente la finalidad y el medio del tratamiento, ambas se considerarán corresponsables. El RGPD no entra en más detalles sobre este proceso y sólo lo menciona de pasada en los artículos 30 y 36.
Las cláusulas del artículo 26 (RGPD) sobre corresponsabilidad son muy breves, pero han generado mucha discusión e incertidumbre para las organizaciones.
El concepto de corresponsabilidad no es particularmente nuevo, pero su aplicación posterior al RGPD en el ecosistema moderno de procesamiento de datos es compleja. Aclarar cómo se considera que las partes son corresponsables define sus respectivas responsabilidades de cumplimiento y responsabilidad compartida con respecto a individuos y protección de datos autoridades.
Una entidad/organización puede ser un responsable del tratamiento de datos o un procesador de datos, o ambos. Una misma organización puede ser a la vez responsable del tratamiento y encargado del tratamiento. Por ejemplo, si nuestro proveedor de análisis ejecuta los datos de un cliente a través de sus sistemas, el proveedor será el procesador de esos datos.
Sin embargo, el proveedor de análisis puede tener otros conjuntos de datos, quizás los que utiliza en sus herramientas de análisis. Si el proveedor de análisis tiene derecho a determinar cómo se utilizan esos datos adicionales, será el controlador de esos datos.
Sus obligaciones conforme al RGPD dependerán de si es responsable del tratamiento, encargado del tratamiento o corresponsable del tratamiento. Por lo tanto, es vital que considere cuidadosamente su rol y responsabilidades con respecto a sus actividades de procesamiento de datos para determinar si usted es responsable del tratamiento, encargado del tratamiento o corresponsable del tratamiento.
Incluso si no participa directamente en la recopilación de datos, sigue siendo potencialmente responsable del incumplimiento del RGPD. Por lo tanto, usted es responsable de garantizar que demostrar el cumplimiento de las disposiciones del Reglamento Principios de protección de datos.
ISMS.online le ahorrará tiempo y dinero para obtener la certificación ISO 27001 y facilitará su mantenimiento.
Gerente de Seguridad de la Información, Honeysuckle Health
El Reglamento General de Protección de Datos distingue entre un "controlador de datos" y un "procesador de datos" en el Reino Unido.
Esto ayuda a identificar que no todas las organizaciones involucradas en el procesamiento de datos personales tienen el mismo grado de responsabilidad. El RGPD del Reino Unido define estos términos como:
La persona u organización que determina "por qué" y "cómo" se deben procesar los datos personales se conoce como controlador de datos.
Supongamos que una empresa procesa datos personales para ayudar a una persona específica (como un empleado) a desempeñar sus funciones. En ese caso, ese empleado actúa como encargado del tratamiento de datos.
Un 'procesador de datos' es cualquier empresa o individuo que procesa datos personales en nombre de otro. En definitiva, es un agente del responsable del tratamiento.
Los seis principios básicos del sistema general. El régimen de protección de datos se establece en el artículo 5 del RGPD del Reino Unido. contorno:
El primer principio de privacidad es razonablemente evidente. Una organización debe asegurarse de que sus prácticas de recopilación de datos sean legales y no oculten nada a sus interesados. Para cumplirlo, como controlador de datos, debe comprender a fondo el RGPD y sus reglas para la recopilación de datos. Además, debe publicar su política de privacidad indicando exactamente qué datos recopila y por qué los recopila.
Las organizaciones deben limitar la cantidad de datos personales que recopilan a lo necesario para cumplir sus propósitos. También deben asegurarse de que los datos que recopilan sean precisos, estén actualizados y no se conserven durante más tiempo del necesario para cumplir esos fines. El responsable del tratamiento tendrá más libertad de acción si su tratamiento se realiza con fines de archivo, de interés público, científicos, históricos o estadísticos.
Una organización sólo debe procesar los datos personales necesarios para lograr su propósito. Esto tiene dos beneficios importantes. En caso de que se produzca una violación de datos, un individuo sólo tendrá acceso a una pequeña cantidad de datos. También es más fácil mantener los datos precisos.
La precisión de los datos es esencial para la privacidad de los datos. El RGPD afirma que se deben tomar “todas las medidas razonables” para corregir, eliminar o destruir cualquier dato que no sea exacto o completo. Las personas tienen derecho a solicitar que los datos inexactos o incompletos sean corregidos o actualizados dentro de los 30 días. Sin embargo, en otros casos puede resultar imposible corregir o actualizar los datos y es posible que sea necesario eliminarlos.
Todas las organizaciones deben eliminar los datos personales cuando ya no sean necesarios. ¿Cuánto tiempo debe una organización conservar los datos de los clientes? Varía según las industrias y los motivos por los que se recopilan los datos. Cualquier organización que no esté segura de cuánto tiempo debe conservar los datos personales debe consultar a un profesional del derecho.
El RGPD exige que los datos personales estén protegidos. Los datos deben estar protegidos. contra pérdida, destrucción o daño. También debe protegerse contra el procesamiento no autorizado y contra la pérdida accidental, utilizando medidas técnicas u organizativas apropiadas. El RGPD es deliberadamente vago respecto de lo que deben hacer las organizaciones porque las mejores prácticas tecnológicas y organizativas cambian constantemente.
Descarga tu guía gratuita
para optimizar su Infosec
La siguiente lista de verificación le ayudará a determinar qué hacer si es responsable del tratamiento de datos.
Su empresa ha completado una información auditoría para saber dónde se encuentran los datos de su empresa.
Su empresa ha documentado e identificado sus bases legales para procesar datos.
El Reglamento General de Protección de Datos del Reino Unido establece un estándar muy alto para el consentimiento. Sin embargo, no siempre es necesario el consentimiento. En algunos casos, ofrecer a las personas opciones y control genuinos sobre cómo utilizar sus datos mejora su reputación y genera más confianza. El RGPD se basa en el estándar de consentimiento de la Ley de 1998 en varias áreas y contiene más detalles sobre lo que constituye un consentimiento válido y otras bases legales para procesar los datos de las personas.
Debe tener una base legal para procesar los datos personales de un menor. Si depende del consentimiento como base legal para procesar datos y ofrece servicios en línea a niños, debe hacer esfuerzos razonables para verificar que cualquier persona que dé su propio consentimiento tenga la edad suficiente para hacerlo. Por lo tanto, deberá asegurarse de que cualquier persona que le proporcione su consentimiento sea mayor de 13 años.
Si proporciona un servicio en línea para niños menores de 13 años, primero debe obtener el consentimiento de quien tenga la responsabilidad parental del niño. Luego debe hacer esfuerzos razonables para verificar que la persona que da su consentimiento para el niño tiene la responsabilidad parental.
Si debe procesar cualquier tipo de datos para proteger los intereses de un individuo, su empresa debe documentar las circunstancias en las que será relevante e informar a esas personas cuando sea necesario.
Si confía en intereses legítimos como base legal para el procesamiento, su empresa ha demostrado que ha considerado y protegido los derechos e intereses de las personas.
Todas las organizaciones o empresas que procesan información personal deben pagar una tarifa a la ICO a menos que estén exentas.
Reserve una sesión práctica personalizada según sus necesidades y objetivos.
Para estar seguro, asuma siempre que todo lo que almacena sobre un cliente son datos personales y asegúrese de cumplir con la ley/Protección de Datos Actuar a la hora de almacenar y procesar esos datos. Asegúrese de que el procesamiento de datos personales de sus clientes sea seguro, que cumpla con las normas de privacidad de datos y que los borre rápidamente cuando ya no sean necesarios.
Es esencial considerar la posibilidad de seudonimizar y/o cifrar datos personales cuando se trata de una categoría particular de datos personales. Para hacerlo, reemplace la información de identificación con "identificadores artificiales". Esto garantizará que los datos personales permanezcan seguros.
Aunque se menciona 15 veces en el RGPD, la seudonimización por sí sola no es suficiente; tiene sus limitaciones, por lo que el cifrado también se menciona en el RGPD.
El cifrado codifica o codifica la información reemplazándola con otra cosa. La seudonimización permite que cualquier persona con acceso a los datos de su organización pueda ver ese conjunto de datos; por otro lado, el cifrado. permite que sólo los usuarios "aprobados" accedan el conjunto de datos completo.
Es posible utilizar tanto la seudonimización como el cifrado al mismo tiempo o por separado según el RGPD.
El RGPD del Reino Unido requiere que usted designe un Oficial de Protección de Datos (DPO). Este DPO es responsable de garantizar que su organización cumple con la nueva normativa. También trabajarán con usted en cualquier cambio necesario en sus procedimientos de gestión de datos.
Los Oficiales de Protección de Datos lo ayudan a monitorear su cumplimiento de las leyes de protección de datos y brindarle asesoramiento sobre las Evaluaciones de Impacto de la Protección de Datos (DPIA). Los DPO también actúan como punto de contacto para los interesados y la ICO. Un DPO es alguien que ya es empleado de su empresa, o tal vez alguien que no tiene ninguna conexión previa con su negocio.
El RPD debe ser independiente, experto en protección de datos, contar con la financiación adecuada y rendir cuentas al más alto nivel directivo. En algunos casos, varias organizaciones pueden nombrar un único DPD.
Uno de los servicios de firma de Los principios fundamentales del RGPD del Reino Unido son que debe proteger el procesamiento de datos personales. mediante el uso de medidas organizativas adecuadas. Éste es el "principio de seguridad".
Debe tomar medidas razonables diseñadas para garantizar la confidencialidad, integridad y disponibilidad de sus sistemas y servicios y los datos personales que procesa dentro de ellos.
Como se puede ver arriba, el sanciones financieras por violar el RGPD no es barato.
Hay varios pasos que puede seguir para que su empresa cumpla con las normas:
Los acuerdos de trabajo remoto o flexible se encuentran entre los factores más importantes a la hora de buscar trabajo. La mayoría de los empleadores no tienen una política formal de trabajo remoto, a pesar del creciente número de empresas que ofrecen oportunidades laborales remotas. Esto te deja vulnerable.
Todas las empresas/organizaciones deben contar con una política sólida de trabajo remoto. Ayudará a guiar el modelo operativo de su negocio.
También es esencial que los desarrolladores remotos comprendan cómo recopilar y acceder a datos de conformidad con el RGPD.
Encuentre formas de reforzar su política de trabajo desde casa con sesiones de concientización y capacitación para empleados.
Una sesión práctica adaptada a tus necesidades y objetivos.