Funciones clave definidas en el RGPD de la UE

Parte del nuevo Reglamento General de Protección de Datos (RGPD) incluye definiciones de las diferentes funciones y de sus responsabilidades. Antes de comenzar a entender los requisitos del RGPD, o comenzar a implementar el RGPD, es importante entender las funciones clave. En este artículo, compartiré un resumen y responsabilidades clave del RGPD.

Responsable

El responsable es la persona física o entidad legal que determina los fines y los medios del tratamiento de datos personales (ej. al tratar datos personales de un empleado, el empresario es considerado como el responsable). Es posible tener corresponsables de datos en determinadas circunstancias. Por ejemplo, cuando una empresa opera en múltiples países, pero las decisiones sobre los fines del tratamiento se realizan tanto por entidades centrales como locales, el escenario podría considerarse el de un corresponsable.

La responsabilidad clave de un responsable es ser responsable, es decir, tomar medidas de acuerdo con el RGPD, y ser capaz de explicar el cumplimiento con el RGPD a los interesados y a la Autoridad de Control, cómo y cuando sea requerido.

Vea también: Responsable vs encargado en RGPD UE – ¿Cuáles son las diferencias?

Encargado

Una persona física o entidad legal que trata datos personales en nombre del responsable (ej. centralitas que actúan en nombre de sus clientes) es considerada un encargado. En ocasiones, a un encargado también se le conoce como un tercero.

La responsabilidad clave de un encargado es garantizar que las condiciones especificadas en el Acuerdo de Tratamiento de Datos firmadas con el responsable se cumplan siempre, y que las obligaciones establecidas en el RGPD también sean cumplidas.

Funciones clave definidas en el RGPD de la UE - Advisera

Delegado de Protección de Datos (DPD)

El Delegado de Protección de Datos es una función de liderazgo requerida por el RGPD UE. Esta función existe dentro de empresas que traten datos personales de ciudadanos de la UE. Un DPD es responsable de supervisor el enfoque de protección de datos, la estrategia, y su implementación. En resumen, el DPD es responsable del cumplimiento del RGPD. Es posible que ciertas empresas opten por no designar un DPD, sino que asignen la responsabilidad a una persona existente en la organización.

Normalmente, la opción del nombramiento o no de un DPD, se basa en la escala de los datos personales que se tratan en una empresa. Por ejemplo, una empresa pequeña que ofrece servicios de análisis de registros médicos debería de tener un DPD, debido a que tratan datos personales, mientras que una empresa mediana de fabricación podría optar no contar con un DPD, ya que los únicos datos personales que trata son los del personal o los de sus proveedores.

La responsabilidad clave del DPD es garantizar el cumplimiento con el RGPD y asesorar a la dirección de la empresa y el personal sobre las correctas medidas a tomar.

Vea también: El rol del DPD a la luz del Reglamento General de Protección de Datos.

Autoridad de Control

Una Autoridad de Control es una autoridad pública en un país de la UE responsable de supervisor el cumplimiento del RGPD. Un país de la UE dentro de la Unión Europea se refiere también a un estado miembro. Una Autoridad de Control es típicamente una Comisión de Privacidad o equivalente en un estado miembro. Puede tener un nombre distinto en cada país. Por ejemplo, en GB se llama Oficina de Comisarios de Información. Vea aquí una lista de Autoridades de Control en todos los estados miembros de la UE.

La función clave de la Autoridad de Control es asesorar a las empresas sobre el RGPD, llevar a cabo auditorías de cumplimiento con el RGPD, abordar las reclamaciones de los interesados, y emitir multas cuando las empresas no cumplan deliberadamente con el RGPD.

Una Autoridad de Control también se conoce como Autoridad de Protección de Datos por algunos expertos.

Mientras una Autoridad de Control es responsable dentro de un país, las empresas que operan en múltiples países pueden elegir nombrar a una Autoridad de Control Principal con el fin de informar. Por ejemplo, la empresa debe de registrar el nombre de su DPD con la Autoridad de Control Principal. Esto puede significar una gran simplificación para empresas que operan en múltiples países y que optan por no nombrar a un DPD para cada país donde operan.

Vea también: The obligations of controllers towards Data Protection Authorities according to GDPR.

Conclusión

En conclusión, para entender e implementar el RGPD correctamente, debe de entender las funciones clave según el RGPD y decidir qué funciones son relevantes en el contexto de su empresa.

Para leer el reglamento completo, haga click aquí Texto Completo del RGPD de la UE.

Advisera Punit Bhatia

Punit Bhatia

Punit Bhatia is a senior professional with more than 18 years of experience in executing change and leading transformation initiatives. Across three continents, Punit has led projects and programs of varying complexity in business and technology. He has experience on both sides of the table in a variety of industries, serving as a consultant who worked for IT consulting companies, and as a key influencer and driver who has defined and delivered change for large enterprises.
Leer más artículos de Punit Bhatia