Uno de los asuntos que ha levantado la mayor cantidad de dudas en las organizaciones con las que he trabajado es: “Dentro del alcance del RGPD UE (Reglamento General de Protección de Datos Unión Europea), ¿cuál es nuestra responsabilidad en relación con los datos personales que nuestros clientes manejan dentro del alcance de sus actividades del negocio? Es decir, los datos personales son recolectados y procesados por nuestros clientes y nosotros sólo los almacenamos.”
De hecho, algunas organizaciones no tienen control sobre sus datos (sólo los almacenan) para sus clientes. La pregunta es: en el RGPD UE, ¿cuáles son las responsabilidades de estas organizaciones si solo almacenan datos personales? ¿Están cubiertos por las nuevas regulaciones europeas?
Reglamento General de Protección de Datos Unión Europea (RGPD UE)
El nuevo reglamento (RGPD UE) fue aprobado el 14 de abril del 2016, por el Parlamento Europeo y el Consejo de Europa. Será aplicado en cada país, exactamente como es, por lo cual todos los países de la UE tendrán los mismos derechos en lo concerniente a la privacidad de sus ciudadanos. Lea el artículo: ¿Qué es el RGPD UE y por qué es aplicable en todo el mundo? para conocer más.
En primer lugar, todas las organizaciones recolectan y/o almacenan los datos personales de sus propios empleados en caso de que sean ciudadanos europeos; por lo tanto, todas las organizaciones, de la comunidad Europea o no, son responsables de tratar estos datos dentro del RGPD UE. Por otro lado, las organizaciones pueden almacenar datos personales de sus clientes directos o datos personales que sus clientes recolectan de personas naturales. Dentro del RGPD UE, ¿es la responsabilidad de la organización diferente dependiendo si recolecta los datos directamente de los interesados, o no?
Responsable vs encargado
De acuerdo al artículo 4 del RGPD UE, diferentes roles son identificados como se indican a continuación:
- Responsable – “es la persona física o jurídica, autoridad pública, agencia u otro ente que, solo o en conjunto con otros, determina los propósitos y medios del procesamiento de datos personales”
- Encargado – “es la persona física o jurídica, autoridad pública, agencia u otro ente que procesa datos personales en nombre del responsable”
Así, las organizaciones que determinan los medios para procesar datos personales son responsables, sin importar si recogen o no directamente los datos de los interesados. Por ejemplo, un banco (responsable) recolecta los datos de sus clientes cuando abren una cuenta, pero es otra organización (encargado) quien almacena, digitaliza, y cataloga toda la información producida en papel por el banco. Estas compañías pueden ser centros de datos o compañías de gestión de documentos. Ambas organizaciones (responsable y encargado) son responsables por gestionar los datos de esos clientes.
¿Cuáles son las responsabilidades de los responsables?
De acuerdo al artículo 5 del RGPD UE, el responsable debe ser responsable por, y ser capaz de demostrar el cumplir con los principios relacionados con el tratamiento de datos personales: legalidad, justicia y transparencia, minimización de datos, exactitud, limitación e integridad del almacenamiento, y la confidencialidad de los datos personales.
De acuerdo al artículo 24 del RGPD UE, “el responsable debe implementar medidas técnicas y organizacionales apropiadas para asegurar y ser capaz de demostrar que el tratamiento se hace de acuerdo con esta regulación, tomando en cuenta la naturaleza, alcance, contexto y propósito así como los riesgos y sus probabilidades y la severidad de los derechos y libertades de las personas naturales. Esas medidas deben ser revisadas y actualizadas cuando sea necesario.”
Ejemplos de dichas medidas pueden ser la asignación de responsabilidades para la protección de datos, una evaluación del impacto de protección de datos y un plan de mitigación de riesgos, o la implementación de la pseudonimización (tratamiento de datos personales de tal manera que dichos datos no puedan ser atribuidos a un interesado en particular sin el uso de información adicional) y minimización de datos para cumplir los requerimientos de esta regulación y proteger los derechos de los interesados.
Si varias organizaciones comparten la responsabilidad de tratar datos personales, RGPD UE incluye la existencia de responsables conjuntos. Ellos deben determinar sus responsabilidades respectivas por acuerdo y proveer el contenido del acuerdo a los interesados, definiendo los medios de comunicación con los encargados a través de un solo punto de contacto.
¿Cuáles son las responsabilidades de los encargados?
De acuerdo al artículo 28 del RGPD UE, “Donde se lleve a cabo tratamiento debe ser realizado en nombre de un responsable, el cual debe usar solo encargados que ofrezcan suficientes garantías para implementar las medidas técnicas y organizacionales apropiadas de manera tal que el tratamiento cumpla los requerimientos de esta regulación y asegure la protección de los derechos de los interesados.”
Esto significa que cualquier compañía en la UE o fuera de ella que quiera permanecer en operación, responsable o encargado, debe implementar los controles necesarios para asegurar que cumplen con RGPD UE, porque las multas pueden ser aplicadas tanto a responsables como a encargados. De acuerdo al artículo 83, las multas deben ser impuestas de acuerdo al “grado de responsabilidad del responsable o encargado tomando en cuenta las medidas técnicas y organizacionales implementadas.”
¿La implementación de ISO 27001 satisface los requerimientos del RGPD UE?
La implementación de ISO 27001 cubre la mayor parte de los requerimientos del RGPD UE; sin embargo, algunos controles adicionales deben ser adoptados para incluir a los datos personales dentro del Sistema de Gestión de Seguridad de la Información. Lea el artículo Does ISO 27001 implementation satisfy EU GDPR requirements? para conocer más.
Adicionalmente a lo planificado para la implementación ISO 27001, algunas medidas tienen que ser incluidas para que la organización, responsable o encargado (ambos llevan a cabo estas actividades), pueda asegurar cumplimiento con el RGPD UE, tales como:
- procedimientos para asegurar el ejercicio de los derechos de los interesados
- mecanismos para la transferencia de datos fuera de la UE
- mínimo contenido de la evaluación de impacto en la protección de datos
- procedimientos a seguir en caso de violación de datos personales
Todas estas medidas pueden integrarse en el Sistema de Gestión de Seguridad de la Información, permitiendo la garantía del cumplimiento legal y del mejoramiento continuo – aún más si están alineados el SGSI y el RGPD UE.
Las organizaciones cubiertas por el RGPD UE, ya sean responsables o encargados, tienen hasta mayo del 2018 para implementar un conjunto de medidas que puede causar un cambio drástico en su manera de operar. No saber por dónde empezar puede hacer que el proceso sea muy complejo. La implementación de un SGSI puede ser lo que le falta a la organización para cumplir con el RGPD UE.
Lea este informe gratuito: ¿Qué es RGPD UE y cómo puede ayudar ISO 27001? para conocer más acerca de protección de la privacidad.