Responsabilidades del Controlador y Procesador, parte crucial en la GDPR

Algunas consideraciones sobre las responsabilidades del controlador y del procesador, y otros conceptos presentes en la ley de protección de datos europea, como DPIA y DPO

La aplicación del Reglamento General de Protección de Datos de la Unión Europea (GDPR) comenzó en mayo de 2018. Desde entonces, las organizaciones se encuentran trabajando en el cumplimiento de los altos estándares de seguridad que demanda GDPR, considerada la lay de privacidad y protección de datos más estricta hasta ahora.

Acorde a expertos en ciberseguridad y forense digital del Instituto Internacional de Seguridad Cibernética, uno de los temas fundamentales que aborda GDPR es la responsabilidad de controladores y procesadores de datos, de lo que hablaremos a continuación.

Responsabilidades gubernamentales

Rendición de cuentas y gobernanza

Este es uno de los principios básicos de GDPR, consideran expertos en forense digital. Establece que, como organización, un controlador de datos debe estar en condiciones de demostrar que el procesamiento se realiza acorde a las exigencias de GDPR.

Protección de datos por defecto y por diseño

Como organización, los controladores deberán cumplir con distintas medidas:

Partir de la protección de datos como núcleo de sus diseños en seguridad. En una empresa de TI, debe haber metodologías de protección de datos a lo largo de todos sus desarrollos, arquitectura empresarial, etc.
Implementar medidas técnicas y organizativas adecuadas para garantizar que, de forma predeterminada, sólo sean procesados los datos personales necesarios para cada propósito específico del proceso.
Minimizar los datos almacenados y considerar el uso de pseudónimos. Esto se puede lograr haciendo algunas preguntas simples como:
- ¿Su organización necesita realmente estos datos?
- ¿Necesita ser personal?
- ¿Es absolutamente necesario el uso de estos datos?
- ¿Los datos son visibles sólo para quienes realmente necesitan verlos?

Registros de actividades de procesamiento

En una organización de más de 250 empleados, los controladores deben mantener un registro de las actividades de procesamiento:

¿Qué datos se procesan y por qué?
¿Por cuánto tiempo serán procesados?
A qué clase de organización son revelados estos datos, incluyendo destinatarios en otros países u organizaciones internacionales.
Además del respaldo digital, debe existir un registro físico del procesamiento
Esto es obligatorio porque los reguladores pueden solicitar estos datos.

Cooperación con las autoridades reguladoras

Los controladores, los procesadores y sus representantes cooperarán, previa solicitud, con la autoridad supervisora para el cumplimiento de la GDPR.

Procesadores de datos

Cuando el procesamiento se lleve a cabo en nombre de un controlador, el controlador utilizará sólo procesadores que ofrezcan garantías suficientes para implementar las medidas técnicas y organizativas adecuadas.
El procesador no cooperará otro procesador sin la autorización previa específica o general por escrito del controlador de los datos.
El procesamiento de datos se regirá por un contrato u otro acto legal que vincule al procesador y al controlador.
El contrato, o acto legal, estipulará, en particular, que el procesador:
- Deberá los datos personales sólo en las instrucciones documentadas del controlador. Los procesadores no deben hacer nada más que lo que indica el controlador.
- Asegurará que las personas autorizadas para procesar los datos personales trabajen bajo una obligación legal de confidencialidad
- Ayudará al controlador mediante medidas técnicas y organizativas adecuadas teniendo en cuenta la naturaleza del procesamiento

Evaluación de Impacto de Protección de Datos (DPIA)

Esta es una evaluación de riesgo, consideran expertos en forense digital y ciberseguridad. DPIA es obligatorio bajo los siguientes escenarios:

Procesamiento y diseño de perfiles con efectos significativos.
Datos de categorías especiales a gran escala
Monitoreo sistemático de áreas de acceso público.

¿Qué debe haber en un DPIA?

La descripción completa del procesamiento.
Si es que este procesamiento es necesario y proporcionado.
Posibles riesgos para los derechos fundamentales y la libertad de los interesados.
Tratamiento del riesgo: en caso de que ocurra un riesgo, ¿cómo puede el controlador de datos actuar?

Siempre será recomendable, cuando estamos comenzando un nuevo proyecto o una nueva aplicación, realizar un DPIA. Nos puede dar más información sobre cómo administrar, proteger y almacenar los datos del controlador.

Oficial de Protección de Datos (DPO)

Necesitará de un DPO si:

Usted es una autoridad pública.
Realiza monitoreo sistemático de los sujetos de datos a gran escala.
Procesa una gran cantidad de información de categoría especial o registros criminales

¿Qué tareas debe cumplir el DPO?

Asesoría
Monitoreo del cumplimiento con GDPA
Conducir los DPIA

Notificación sobre incidentes de seguridad

Aunque su organización cumpla con todos los estándares de GDPR, todavía puede presentarse una violación de seguridad. Esta sección trata sobre lo que se debe hacer en caso de que un controlador tenga conocimiento de una violación de datos en su sistema.

Medidas de seguridad técnicas y organizativas adecuadas

Los controladores deben cumplir con políticas de seguridad de la información adecuadas en función del riesgo para las personas, no el riesgo para la organización.

Tanto el controlador como el procesador de datos deben tomar medidas para garantizar que cualquier persona física que actúe bajo la autoridad del controlador o del procesador que tiene acceso a los datos personales no los procese, excepto acorde a las instrucciones del controlador.

Notificar al regulador en caso de una violación de datos personales

El controlador de datos debe notificar a las autoridades reguladoras dentro de las 72 horas después de descubrir la violación de datos.

Notificar a los sujetos de datos en caso de una violación de datos personales

Es responsabilidad del controlador de datos identificar si la violación de seguridad es de alto o bajo riesgo. El controlador de datos podrá contactar a un abogado para ver si tienen que notificar al sujeto de los datos o no.

Raúl Martínez

Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.

Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.

También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad

Responsabilidades del Controlador y Procesador, parte crucial en la GDPR

Las 11 reglas esenciales de seguridad en la nube de Falco para proteger aplicaciones en contenedores sin costo

Cómo comprobar si una distro de Linux está comprometida por la puerta trasera XZ Utils en 6 pasos

La estrategia de gestión continua de exposición a amenazas CTEM paso a paso para AWS y AZURE

Malware PLC basado en web: una nueva técnica para hackear sistemas de control industrial

Seguridad API: 10 estrategias para mantener seguras las integraciones de API

Cómo robar la contraseña de Windows a través del correo de Outlook

11 formas de hackear ChatGpt y sistemas de IA generativa

CANAL DE NOTICIAS DE CIBERSEGURIDAD