Algunas consideraciones sobre las responsabilidades del controlador y del procesador, y otros conceptos presentes en la ley de protección de datos europea, como DPIA y DPO
La aplicación del Reglamento General de Protección de Datos de la Unión Europea (GDPR) comenzó en mayo de 2018. Desde entonces, las organizaciones se encuentran trabajando en el cumplimiento de los altos estándares de seguridad que demanda GDPR, considerada la lay de privacidad y protección de datos más estricta hasta ahora.
Acorde a expertos en ciberseguridad y forense digital del Instituto Internacional de Seguridad Cibernética, uno de los temas fundamentales que aborda GDPR es la responsabilidad de controladores y procesadores de datos, de lo que hablaremos a continuación.
Responsabilidades gubernamentales
- Rendición de cuentas y gobernanza
Este es uno de los principios básicos de GDPR, consideran expertos en forense digital. Establece que, como organización, un controlador de datos debe estar en condiciones de demostrar que el procesamiento se realiza acorde a las exigencias de GDPR.
- Protección de datos por defecto y por diseño
Como organización, los controladores deberán cumplir con distintas medidas:
- Partir de la protección de datos como núcleo de sus diseños en seguridad. En una empresa de TI, debe haber metodologías de protección de datos a lo largo de todos sus desarrollos, arquitectura empresarial, etc.
- Implementar medidas técnicas y organizativas adecuadas para garantizar que, de forma predeterminada, sólo sean procesados los datos personales necesarios para cada propósito específico del proceso.
- Minimizar los datos almacenados y considerar el uso de pseudónimos. Esto se puede lograr haciendo algunas preguntas simples como:
- ¿Su organización necesita realmente estos datos?
- ¿Necesita ser personal?
- ¿Es absolutamente necesario el uso de estos datos?
- ¿Los datos son visibles sólo para quienes realmente necesitan verlos?
- Registros de actividades de procesamiento
En una organización de más de 250 empleados, los controladores deben mantener un registro de las actividades de procesamiento:
- ¿Qué datos se procesan y por qué?
- ¿Por cuánto tiempo serán procesados?
- A qué clase de organización son revelados estos datos, incluyendo destinatarios en otros países u organizaciones internacionales.
- Además del respaldo digital, debe existir un registro físico del procesamiento
- Esto es obligatorio porque los reguladores pueden solicitar estos datos.
- Cooperación con las autoridades reguladoras
Los controladores, los procesadores y sus representantes cooperarán, previa solicitud, con la autoridad supervisora para el cumplimiento de la GDPR.
Procesadores de datos
- Cuando el procesamiento se lleve a cabo en nombre de un controlador, el controlador utilizará sólo procesadores que ofrezcan garantías suficientes para implementar las medidas técnicas y organizativas adecuadas.
- El procesador no cooperará otro procesador sin la autorización previa específica o general por escrito del controlador de los datos.
- El procesamiento de datos se regirá por un contrato u otro acto legal que vincule al procesador y al controlador.
- El contrato, o acto legal, estipulará, en particular, que el procesador:
- Deberá los datos personales sólo en las instrucciones documentadas del controlador. Los procesadores no deben hacer nada más que lo que indica el controlador.
- Asegurará que las personas autorizadas para procesar los datos personales trabajen bajo una obligación legal de confidencialidad
- Ayudará al controlador mediante medidas técnicas y organizativas adecuadas teniendo en cuenta la naturaleza del procesamiento
Evaluación de Impacto de Protección de Datos (DPIA)
Esta es una evaluación de riesgo, consideran expertos en forense digital y ciberseguridad. DPIA es obligatorio bajo los siguientes escenarios:
- Procesamiento y diseño de perfiles con efectos significativos.
- Datos de categorías especiales a gran escala
- Monitoreo sistemático de áreas de acceso público.
¿Qué debe haber en un DPIA?
- La descripción completa del procesamiento.
- Si es que este procesamiento es necesario y proporcionado.
- Posibles riesgos para los derechos fundamentales y la libertad de los interesados.
- Tratamiento del riesgo: en caso de que ocurra un riesgo, ¿cómo puede el controlador de datos actuar?
Siempre será recomendable, cuando estamos comenzando un nuevo proyecto o una nueva aplicación, realizar un DPIA. Nos puede dar más información sobre cómo administrar, proteger y almacenar los datos del controlador.
Oficial de Protección de Datos (DPO)
Necesitará de un DPO si:
- Usted es una autoridad pública.
- Realiza monitoreo sistemático de los sujetos de datos a gran escala.
- Procesa una gran cantidad de información de categoría especial o registros criminales
¿Qué tareas debe cumplir el DPO?
- Asesoría
- Monitoreo del cumplimiento con GDPA
- Conducir los DPIA
Notificación sobre incidentes de seguridad
Aunque su organización cumpla con todos los estándares de GDPR, todavía puede presentarse una violación de seguridad. Esta sección trata sobre lo que se debe hacer en caso de que un controlador tenga conocimiento de una violación de datos en su sistema.
- Medidas de seguridad técnicas y organizativas adecuadas
Los controladores deben cumplir con políticas de seguridad de la información adecuadas en función del riesgo para las personas, no el riesgo para la organización.
Tanto el controlador como el procesador de datos deben tomar medidas para garantizar que cualquier persona física que actúe bajo la autoridad del controlador o del procesador que tiene acceso a los datos personales no los procese, excepto acorde a las instrucciones del controlador.
- Notificar al regulador en caso de una violación de datos personales
El controlador de datos debe notificar a las autoridades reguladoras dentro de las 72 horas después de descubrir la violación de datos.
- Notificar a los sujetos de datos en caso de una violación de datos personales
Es responsabilidad del controlador de datos identificar si la violación de seguridad es de alto o bajo riesgo. El controlador de datos podrá contactar a un abogado para ver si tienen que notificar al sujeto de los datos o no.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad