Obligaciones generales del responsable y encargado del tratamiento.

Sin valoraciones

  1. Los responsables y encargados, teniendo en cuenta los elementos enumerados en los artículos 24 y 25 del Reglamento (UE) 2016/679, determinarán las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el citado reglamento, con la presente ley orgánica, sus normas de desarrollo y la legislación sectorial aplicable. En particular valorarán si procede la realización de la evaluación de impacto en la protección de datos y la consulta previa a que se refiere la Sección 3 del Capítulo IV del citado reglamento.
  2. Para la adopción de las medidas a que se refiere el apartado anterior los responsables y encargados del tratamiento tendrán en cuenta, en particular, los mayores riesgos que podrían producirse en los siguientes supuestos:
  3. Cuando el tratamiento pudiera generar situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los afectados.
  4. Cuando el tratamiento pudiese privar a los afectados de sus derechos y libertades o pudiera impedirles el ejercicio del control sobre sus datos personales.
  5. Cuando se produjese el tratamiento no meramente incidental o accesorio de las categorías especiales de datos a las que se refieren los artículos 9 y 10 del Reglamento (UE) 2016/679 y 9 y 10 de esta ley orgánica o de los datos relacionados con la comisión de infracciones administrativas.
  6. Cuando el tratamiento implicase una evaluación de aspectos personales de los afectados con el fin de crear o utilizar perfiles personales de los mismos, en particular mediante el análisis o la predicción de aspectos referidos a su rendimiento en el trabajo, su situación económica, su salud, sus preferencias o intereses personales, su fiabilidad o comportamiento, su solvencia financiera, su localización o sus movimientos.
  7. Cuando se lleve a cabo el tratamiento de datos de grupos de afectados en situación de especial vulnerabilidad y, en particular, de menores de edad y personas con discapacidad.
  8. Cuando se produzca un tratamiento masivo que implique a un gran número de afectados o conlleve la recogida de una gran cantidad de datos personales.
  9. Cuando los datos personales fuesen a ser objeto de transferencia, con carácter habitual, a terceros Estados u organizaciones internacionales respecto de los que no se hubiese declarado un nivel adecuado de protección.
  10. Cualesquiera otros que a juicio del responsable o del encargado pudieran tener relevancia y en particular aquellos previstos en códigos de conducta y estándares definidos por esquemas de certificación.

Vea nuestro curso de LOPD GDD

 

 

Obligaciones del Responsable del Tratamiento

El responsable del tratamiento es la persona física o jurídica que determina los fines y medios del tratamiento de datos personales. Sus obligaciones principales incluyen:

1. Cumplimiento de los Principios del RGPD

  • Licitud, Lealtad y Transparencia: Asegurar que el tratamiento de datos personales se realice de manera lícita, leal y transparente.
  • Limitación de la Finalidad: Recoger datos personales solo para fines específicos, explícitos y legítimos, y no tratarlos posteriormente de manera incompatible con esos fines.
  • Minimización de Datos: Asegurar que los datos personales sean adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se tratan.
  • Exactitud: Mantener los datos personales exactos y actualizados, tomando todas las medidas razonables para que los datos inexactos sean rectificados o suprimidos.
  • Limitación del Plazo de Conservación: Conservar los datos personales solo durante el tiempo necesario para cumplir con los fines del tratamiento.
  • Integridad y Confidencialidad: Implementar medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales y protegerlos contra el acceso no autorizado, la alteración, la destrucción o la pérdida.

2. Información y Transparencia

  • Información a los Interesados: Proporcionar a los interesados la información necesaria sobre el tratamiento de sus datos personales, incluyendo la identidad del responsable, los fines del tratamiento, la base legal, los derechos que les asisten y la forma de ejercerlos.

3. Derechos de los Interesados

  • Gestión de Solicitudes: Facilitar a los interesados el ejercicio de sus derechos (acceso, rectificación, supresión, limitación del tratamiento, oposición y portabilidad) y responder a las solicitudes en los plazos establecidos.

4. Registro de Actividades de Tratamiento

  • Documentación: Mantener un registro actualizado de todas las actividades de tratamiento realizadas, que debe incluir detalles como las finalidades del tratamiento, las categorías de datos, los destinatarios, y las medidas de seguridad aplicadas.

5. Evaluación de Impacto en la Protección de Datos (EIPD)

  • Evaluaciones: Realizar evaluaciones de impacto cuando el tratamiento pueda suponer un alto riesgo para los derechos y libertades de los interesados.

6. Contratos con Encargados del Tratamiento

  • Contratos: Celebrar contratos con los encargados del tratamiento que especifiquen claramente las obligaciones del encargado y garanticen que el tratamiento se realice conforme al RGPD.

7. Notificación de Brechas de Seguridad

  • Notificación a la Autoridad de Protección de Datos: Informar a la autoridad de protección de datos sobre cualquier brecha de seguridad que afecte a los datos personales, cuando sea necesario.
  • Notificación a los Interesados: Comunicar a los interesados afectados sobre las brechas de seguridad que puedan suponer un alto riesgo para sus derechos y libertades.

Obligaciones del Encargado del Tratamiento

El encargado del tratamiento es la persona física o jurídica que trata datos personales en nombre del responsable del tratamiento. Sus obligaciones incluyen:

1. Tratamiento Solo Según Instrucciones

  • Instrucciones del Responsable: Realizar el tratamiento de datos personales únicamente conforme a las instrucciones documentadas del responsable del tratamiento.

2. Medidas de Seguridad

  • Seguridad de los Datos: Implementar medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales y protegerlos contra el acceso no autorizado, la alteración, la destrucción o la pérdida.

3. Subcontratación

  • Subencargados: No subcontratar el tratamiento a otros terceros sin el consentimiento previo y por escrito del responsable. El contrato con los subencargados del tratamiento debe cumplir con los mismos requisitos que el contrato principal.

4. Cooperación con el Responsable

  • Asistencia: Cooperar con el responsable del tratamiento para garantizar el cumplimiento del RGPD y asistir en la gestión de las solicitudes de los interesados y en la notificación de brechas de seguridad.

5. Registro de Actividades de Tratamiento

  • Documentación: Mantener un registro de las actividades de tratamiento realizadas en nombre del responsable, similar al que debe llevar el responsable.

6. Evaluaciones de Impacto y Consultas Previas

  • Apoyo: Asistir al responsable en la realización de evaluaciones de impacto en la protección de datos y en la consulta previa con la autoridad de protección de datos si es necesario.

7. Eliminación o Devolución de Datos

  • Finalización del Tratamiento: Al finalizar el tratamiento o la relación contractual, eliminar o devolver todos los datos personales al responsable, salvo que la ley exija su conservación.

Compártelo en tus redes

Share on facebook
Share on twitter
Share on linkedin
Share on pinterest

Valore este curso

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestra web. Si sigues utilizando este sitio asumimos que estás de acuerdo. VER

ACEPTAR