Los procesadores dedatos desempeñan un papel vital en la economía digital. Todas las organizaciones dependen de los procesadores de datos de una forma u otra: los correos electrónicos, los servicios en la nube y los pagos electrónicos serían totalmente imposibles sin ellos.
En este artículo, explicaremos exactamente qué es un procesador de datos y un acuerdo de procesamiento de datos y qué debe cubrir un acuerdo de procesamiento de datos.
- ¿Qué son los responsables y los encargados del tratamiento?
- ¿Qué es un acuerdo de tratamiento de datos?
- ¿Por qué necesita un acuerdo de tratamiento de datos?
- Una vez firmado un APD, ¿puedo divulgar los datos?
- ¿Cumple mi divulgación de datos el GDPR?
- ¿Estoy exento de responsabilidad tras firmar un APD?
- Conclusiones
Entremos en materia.
¿Qué son los responsables y los encargados del tratamiento?
"Controlador de datos" y "procesador de datos" son nociones muy importantes en el GDPR y la ley de privacidad. De hecho, existen nociones similares en muchas leyes de privacidad distintas del GDPR, como la Ley de Protección de la Privacidad en Línea de California de 2003 (CalOPPA) y acuerdos similares.
Según el GDPR, el responsable del tratamiento decide qué datos personales se procesan, cómo se procesan y con qué fin. En otras palabras, lleva la voz cantante. En cambio, un encargado del tratamiento trata los datos en nombre del responsable del tratamiento y siguiendo sus instrucciones. También es posible que un procesador procese datos en nombre de otro procesador, lo que se denomina un subprocesador.
Por ejemplo, la mayoría de los servicios de análisis web sólo utilizan los datos de los visitantes para ofrecer información a sus clientes. En este caso, el cliente es el responsable del tratamiento porque decide qué datos recopilar y analizar y con qué fin. Por otro lado, el proveedor de análisis es un procesador. El proveedor de análisis a menudo se apoya en subprocesadores para el almacenamiento de datos, la entrega de contenidos, etcétera.
Esto parece muy sencillo, pero en realidad no lo es. Existe una zona gris entre el control y el procesamiento, lo que hace que algunos escenarios sean difíciles de clasificar.
Para complicar aún más las cosas, el GDPR también permite el control conjunto. El control conjunto se produce cuando dos o más responsables tratan los mismos datos mientras persiguen sus propios objetivos. Los responsables conjuntos acuerdan cómo se compartirán algunas responsabilidades, pero no reciben instrucciones el uno del otro.
He aquí un ejemplo. Supongamos que una empresa decide recurrir a los servicios de una empresa de IA para que le ayude a realizar estudios de mercado basados en datos personales de clientes. La empresa de IA utiliza los datos para dos fines distintos: estudios de mercado y entrenamiento de su modelo de IA para mejorar su rendimiento. En este caso, las dos empresas son corresponsables del tratamiento, ya que ambas intervienen en el tratamiento mientras persiguen sus propios objetivos.
Google Analytics es otro ejemplo. El papel de Google en la prestación del servicio depende de la configuración elegida por el cliente (es decir, el propietario del sitio web que utiliza Google Analytics). Si se desactiva la opción de compartir datos, Google actúa como procesador de datos y sólo utiliza los datos recopilados por Google Analytics para proporcionar análisis al cliente.
Por otro lado, si el cliente habilita el uso compartido de datos, Google también utiliza los datos para mejorar otros servicios del ecosistema de Google. En ese caso, Google decide qué hacer con los datos y es un controlador conjunto junto con el cliente.
Hay que señalar dos cosas más. En primer lugar, los conceptos de responsable y encargado del tratamiento sólo tienen sentido cuando se refieren a datos personales. No se puede ser responsable ni encargado del tratamiento de datos no personales porque el RGPD no se aplica a esos datos.
En segundo lugar, el responsable y el encargado del tratamiento son nociones sustantivas. En otras palabras, dependen totalmente de lo que usted haga con los datos y no de cómo se denomine a sí mismo en su APD, condiciones de servicio y demás. Si actúa como responsable del tratamiento, los tribunales le tratarán como tal, independientemente de lo que diga su documentación legal.
¿Qué es un acuerdo de tratamiento de datos?
El GDPR solo permite confiar en un procesador cuando un contrato regula ciertos aspectos del procesamiento de datos. Este contrato se denomina acuerdo de tratamiento de datos o APD (no confundir con las autoridades de protección de datos, que también se abrevian APD).
Un APD válido debe incluir ciertas estipulaciones. El encargado del tratamiento
- debe seguir las instrucciones del responsable del tratamiento y no puede tratar los datos para sus propios fines
- debe tratar los datos de forma segura
- debe garantizar que todo el personal implicado en el tratamiento esté sujeto a la obligación de confidencialidad.
- siempre que sea posible, debe ayudar al responsable del tratamiento a responder a las solicitudes en virtud del RGPD (como las solicitudes de acceso o supresión)
- debe borrar o devolver los datos personales tan pronto como finalice el servicio
- debe ayudar al responsable del tratamiento a cumplir determinadas obligaciones en virtud del RGPD, incluida la notificación de violaciones de datos y la realización de evaluaciones de impacto del tratamiento de datos (EIPD)
- debe estar disponible para ser auditado por el responsable del tratamiento.
También se necesita un APD cuando un encargado del tratamiento contrata a un subencargado. En este caso, el encargado del tratamiento necesita una autorización por escrito del responsable del tratamiento, y el APD con el subencargado del tratamiento debe preservar todas las obligaciones de protección de datos incluidas en el APD original con el responsable del tratamiento. En otras palabras, la protección de la intimidad no puede diluirse.
Es mucho que recordar, pero no se preocupe: probablemente no tendrá que escribir nada de esto usted mismo. Las empresas que actúan como procesadores como parte fundamental de su negocio suelen tener APD de clientes estándar.
Dicho esto, si usted tiene una idea general de lo que debe estar en un DPA, puede hojear uno y asegurarse de que todo está en su lugar (y, por supuesto, siempre se puede comprobar el artículo 28 (3) GDPR para refrescar la memoria).
¿Por qué necesita un acuerdo de tratamiento de datos?
Todo esto está muy bien, pero ¿por qué el RGPD exige un APD?
Los responsables del tratamiento tienen obligaciones en virtud del RGPD. Deben procesar los datos de forma lícita, justa y transparente, garantizar la seguridad, responder a las solicitudes de acceso, notificar las violaciones de datos, etcétera. Todas estas obligaciones tienen por objeto garantizar determinadas normas de protección de datos.
Las APD protegen estas normas cuando interviene un encargado o subencargado del tratamiento de datos. Desempeñan un papel importante en la protección de la intimidad porque las cadenas de valor del tratamiento de datos pueden ser bastante largas y complejas.
En pocas palabras, las APD no son sólo un molesto papeleo legal: protegen sus datos.
Además, un APD bien redactado es útil para las propias partes porque pueden consultarlo para saber exactamente cómo se reparten las responsabilidades de tratamiento de datos.
Una vez firmado un APD, ¿puedo divulgar los datos?
Con arreglo al RGPD, todo tratamiento de datos personales debe respetar determinadas normas. Esto también se aplica a la divulgación de datos personales a un encargado del tratamiento. Por tanto, firmar un APD no garantiza que pueda revelar legalmente los datos.
Por ejemplo, debe tener una base jurídica para el tratamiento de los datos (ya tratamos el tema aquí), proporcionar información transparente, asegurarse de que cuenta con las garantías adecuadas para cualquier transferencia de datos fuera de la UE y respetar el principio de minimización de datos (es decir, tomar sólo los datos que realmente necesita y tratarlos de la forma menos invasiva posible).
Estos son solo algunos de los criterios que, en conjunto, determinan si una divulgación de datos personales está permitida en virtud del RGPD. Si usted es el controlador de datos, garantizar el cumplimiento es su responsabilidad. La firma de un DPIA no significa automáticamente que su divulgación de datos personales comprueba todas las casillas - usted necesita mirar las cosas desde una perspectiva más amplia.
¿Cumple mi divulgación de datos el GDPR?
Como hemos dicho, una DPIA válida es sólo una de las muchas casillas de verificación. ¿Cuáles son las demás?
Una lista de comprobación sería de poca utilidad en este caso. La mayoría de las normas que se aplican a la divulgación de datos son normas generales que se aplican a cualquier tratamiento de datos personales, ya se trate de recopilarlos, almacenarlos o incluso borrarlos. La lista es muy larga, porque estamos hablando de casi todo el RGPD,
Si desea asegurarse de que la comunicación de datos a su procesador cumple con el GDPR, es mejor empezar por lo básico. El artículo 5 del GDPR enumera todos los principios básicos del GDPR. El artículo es mucho más valioso que cualquier lista de comprobación de cumplimiento que pudiéramos elaborar porque ofrece una visión del significado del GDPR.
Con una cierta comprensión de los principios generales, puede examinar su divulgación de datos y empezar a hacerse las preguntas correctas. Por ejemplo:
- ¿Realmente necesito revelar los datos a un encargado del tratamiento?
- ¿Sólo revelo los datos que mi procesador realmente necesita para hacer su trabajo?
- ¿Mi procesador borrará los datos después de un tiempo razonable?
- ¿Sé por qué es lícita la comunicación? Si alguien me preguntara, ¿sabría explicárselo?
No olvide examinar también la divulgación desde la perspectiva de los interesados, es decir, las personas a las que se refieren los datos. Los interesados pueden ser sus clientes, los visitantes de su sitio web o cualquier otra persona que no tenga ninguna relación con usted, por ejemplo, las personas cuyos datos personales está utilizando para entrenar un modelo de IA.
(Por cierto, las IA plantean problemas de privacidad muy serios. Si va a entrenar un modelo de IA con datos personales, pida a los profesionales de la privacidad que participen desde la fase de diseño).
Los interesados tienen derecho a la información. ¿Ha tomado medidas para informar a los interesados de que su procesador está implicado? ¿Ha facilitado esta información de forma clara y accesible?
Los interesados también pueden ejercer derechos específicos en virtud del RGPD. Por ejemplo, pueden exigir al responsable del tratamiento que corrija o suprima sus datos personales o que les facilite acceso a ellos.
¿Qué ocurre si un interesado ejerce uno de estos derechos? ¿Puede usted atender la solicitud de forma independiente o tiene que intervenir el encargado del tratamiento? ¿Está su encargado del tratamiento realmente dispuesto a ayudarle con estas solicitudes, independientemente de lo que diga su APD?
Estas son algunas de las preguntas que debe plantearse cuando analiza la cuestión desde la perspectiva del interesado. Es fácil centrarse en la posición de su organización y perder de vista el panorama completo. Pero hay personas detrás de los datos, y debe ponerse en su lugar para cumplir la ley de privacidad.
¿Estoy exento de responsabilidad tras firmar un APD?
No. Firmar un APD no le exime de responsabilidad. Por eso es crucial confiar en procesadores de confianza y que cumplan con el GDPR.
Esto no significa que usted será necesariamente responsable si algo sale mal. Pero en virtud del GDPR, existe una especie de presunción de que si algo sale mal en materia de privacidad, el responsable del tratamiento es el culpable. Puede evitar la responsabilidad demostrando que no es responsable del incidente, pero la carga de la prueba recae enteramente en usted, lo cual es arriesgado.
Por eso las grandes organizaciones evalúan a fondo el cumplimiento de sus procesadores y documentan la evaluación. Esta evaluación documentada se denomina evaluación del riesgo del proveedor y tiene dos finalidades. En primer lugar, permite al responsable del tratamiento asegurarse de que el encargado del tratamiento es fiable. En segundo lugar, si algo sale mal, una evaluación del riesgo del proveedor bien redactada puede ayudar al controlador a demostrar que hizo sus deberes de cumplimiento.
La mayoría de las pequeñas empresas carecen de los recursos y la experiencia necesarios para llevar a cabo evaluaciones de riesgos de proveedores. Sin embargo, pueden beneficiarse de investigar a sus procesadores y asegurarse de que tienen una buena reputación en materia de cumplimiento.
Conclusiones
La privacidad no consiste en marcar casillas en una lista de control. Se trata de comprender las razones que hay detrás de las normas y de preocuparse por las personas que hay detrás de los datos.
En Simple Analytics nos preocupamos por la privacidad. Y, a diferencia de otras empresas, lo decimos en serio. La privacidad es la piedra angular de Simple Analytics y no una mera capa de pintura. Hemos creado nuestro software para proporcionar a las organizaciones toda la información que necesitan para optimizar sus sitios web y campañas sin utilizar los datos personales de los visitantes. Si esto le parece bien, ¡no dude en darnos una oportunidad!