Plataforma

RGPD: derechos del interesado y obligaciones del responsable y del encargado del tratamiento.

RGPD: derechos del interesado y obligaciones del responsable y del encargado del tratamiento.

En el artículo de hoy voy a resumir algunos aspectos que trata el Reglamento general de protección de datos (RGPD) sobre las tres figuras más importantes del mismo:

  1. derechos del interesado;
  2. obligaciones del responsable del tratamiento y del encargado del tratamiento;
  3. el registro de actividades del tratamiento.

Os muestro los puntos más destacados a tener en cuenta y que deberemos de observar, vigilar y adaptar en cada compañía para cumplir con el RGPD que en breve entrará en vigor.

1.Derechos del interesado

Podemos decir que el interesado es la persona de la que se recogen los datos personales para una finalidad determinada.

Según el nuevo Reglamento, el interesado tiene los siguientes derechos:

  • derecho a la transparencia para que la información se facilite de forma concisa, transparente, inteligible y sea de fácil acceso. Además, a petición del interesado, la información se dará en el plazo de un mes; que podrá prorrogarse a dos por la complejidad del asunto o número de solicitudes;
  • derecho a la información sobre la identidad del responsable y/o representante de datos, los fines del tratamiento para el que se recogen, la base jurídica del tratamiento, el plazo de la conservación de los datos;
  • derecho de acceso del interesado a obtener del responsable del tratamiento confirmación de si los datos se están tratando, de sus fines, del plazo previsto de conservación, de su origen;
  • derecho a la rectificación de los datos personales inexactos;
  • derecho a la supresión de los datos, cuando el propio interesado lo solicite, cuando ya no sean necesarios, cuando hayan sido tratados ilícitamente o para el cumplimiento de una obligación legal;
  • derecho a la limitación del tratamiento, cuando el interesado impugne la exactitud de los datos personales, el tratamiento sea ilícito y el interesado se oponga a la supresión, cuando el responsable ya no necesite los datos para los fines del tratamiento pero se puedan necesitar para la formulación, ejercicio o defensa de reclamaciones, o si el interesado se opone al tratamiento, mientras se hacen las verificaciones oportunas;
  • derecho a la portabilidad de los datos en un formato estructurado, de uso común y lectura mecánica; y a que se transmitan de un responsable a otro cuando sea técnicamente posible.
  • derecho de oposición en cualquier momento.

Estos derechos van a generar en las compañías nuevas figuras, responsabilidades y procedimientos que ayuden a poner en marcha y mantener estas nuevas responsabilidades para las empresas.

2.Obligaciones del responsable y del encargado de tratamiento

Para poder entender mejor el papel de cada uno de ellos así como sus obligaciones, vamos a repasar qué es cada uno de ellos según el RGPD:

«responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.

«encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

En ocasiones responsable y encargado serán el mismo, en otras no.

De este modo el responsable del tratamiento:

  • aplicará las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento se ajusta al nuevo Reglamento; tanto en el momento de determinar los medios del tratamiento, como en el propio momento del tratamiento;
  • garantizará que solo sean objeto de tratamiento los datos personales que sean necesarios;
  • aplicará las políticas de protección de datos oportunas en relación con las actividades de tratamiento;
  • podrá demostrar el cumplimiento de las obligaciones mediante la adhesión a códigos de conducta;
  • elegirá únicamente un encargado que pueda garantizar la aplicación de las medidas técnicas y organizativas a apropiadas.

En su caso, el encargado del tratamiento:

  • se regirá por un contrato o acto jurídico que vincule al encargado respecto al responsable;
  • aplicará las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento se ajusta al nuevo Reglamento;
  • no recurrirá a otro encargado de tratamiento sin autorización previa por escrito del responsable;
  • sólo podrá tratar los datos siguiendo las instrucciones del responsable;
  • tendrá las obligaciones en políticas de protección de datos estipuladas en el contrato con el responsable;

Además, ambos, responsable y encargado:

  • aplicarán todas o algunas de las medidas técnicas y organizativas, que el Reglamento contempla para cumplir con sus obligaciones, que podrán ser:
    • la seudonimizacación y el cifrado de datos;
    • la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
    • la capacidad de restaurar la disponibilidad y acceso a los datos;
    • un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas tomadas.
  • cooperarán con la autoridad de control que lo solicite;
  • comunicarán las violaciones de seguridad que se hayan producido: el encargado al responsable, y el responsable a la autoridad de control y al interesado;
  • designarán un delegado de protección de datos cuando sea necesario y tal y como lo marca el Reglamento General de Protección de Datos.

El registro de actividades del tratamiento

Para empresas u organizaciones con más de 250 trabajadores, o cuyo tratamiento pueda entrañar un riesgo para los derechos y libertades de los interesados, en las que el tratamiento no sea ocasional, o incluya categorías especiales de datos personales como las incluías en el artículo 9 o 10 del Reglamento es obligado llevar un “registro de actividades de tratamiento” como el que se describe a continuación.

El RESPONSABLE llevará un registro de las ACTIVIDADES de tratamiento que contenga, en su caso:

  • el nombre y los datos del contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;
  • los fines del tratamiento;
  • la descripción de categorías de interesados y categorías de los datos;
  • las categorías de los destinatarios;
  • las transferencias, si las hubiera;
  • si es posible, los datos previstos para la supresión de las diferentes categorías;
  • si es posible, la descripción de las medidas de seguridad técnicas y organizativas.

El ENCARGADO llevará un registro de todas las CATEGORÍAS DE ACTIVIDADES de tratamiento efectuadas por cuenta de un responsable:

  • el nombre y los datos del contacto del encargado o encargados yde cada responsable por cuenta del cual actúe el encargado,y, en su caso, del representante del responsable o del encargado, y del delegado de protección de datos;
  • las categorías de los tratamientos
  • las transferencias de datos personales, si las hubiera
  • si es posible, la descripción de las medidas de seguridad técnicas y organizativas.

En cualquier caso, tengas la obligación o no, se aconseja llevar este tipo de registro o similar; pues, justificará el buen hacer, la preocupación, el compromiso con los “interesados” y el cumplimiento del principio de responsabilidad proactiva  que exige el nuevo Reglamento.

El próximo día: “El delegado de protección de datos”.

Valora el artículo:

1 Estrella2 Estrellas3 Estrellas4 Estrellas5 Estrellas (3 valoraciones, media: 4,33 sobre 5)
Cargando...
Avatar photo María Cumplido Comunicación y RRHH Ver más artículos de María Cumplido

Otros artículos de la categoría Actualidad