Obligaciones generales del responsable y encargado del tratamiento.

[mr_rating_result]

  1. Los responsables y encargados, teniendo en cuenta los elementos enumerados en los artículos 24 y 25 del Reglamento (UE) 2016/679, determinarán las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el citado reglamento, con la presente ley orgánica, sus normas de desarrollo y la legislación sectorial aplicable. En particular valorarán si procede la realización de la evaluación de impacto en la protección de datos y la consulta previa a que se refiere la Sección 3 del Capítulo IV del citado reglamento.
  2. Para la adopción de las medidas a que se refiere el apartado anterior los responsables y encargados del tratamiento tendrán en cuenta, en particular, los mayores riesgos que podrían producirse en los siguientes supuestos:
  3. Cuando el tratamiento pudiera generar situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los afectados.
  4. Cuando el tratamiento pudiese privar a los afectados de sus derechos y libertades o pudiera impedirles el ejercicio del control sobre sus datos personales.
  5. Cuando se produjese el tratamiento no meramente incidental o accesorio de las categorías especiales de datos a las que se refieren los artículos 9 y 10 del Reglamento (UE) 2016/679 y 9 y 10 de esta ley orgánica o de los datos relacionados con la comisión de infracciones administrativas.
  6. Cuando el tratamiento implicase una evaluación de aspectos personales de los afectados con el fin de crear o utilizar perfiles personales de los mismos, en particular mediante el análisis o la predicción de aspectos referidos a su rendimiento en el trabajo, su situación económica, su salud, sus preferencias o intereses personales, su fiabilidad o comportamiento, su solvencia financiera, su localización o sus movimientos.
  7. Cuando se lleve a cabo el tratamiento de datos de grupos de afectados en situación de especial vulnerabilidad y, en particular, de menores de edad y personas con discapacidad.
  8. Cuando se produzca un tratamiento masivo que implique a un gran número de afectados o conlleve la recogida de una gran cantidad de datos personales.
  9. Cuando los datos personales fuesen a ser objeto de transferencia, con carácter habitual, a terceros Estados u organizaciones internacionales respecto de los que no se hubiese declarado un nivel adecuado de protección.
  10. Cualesquiera otros que a juicio del responsable o del encargado pudieran tener relevancia y en particular aquellos previstos en códigos de conducta y estándares definidos por esquemas de certificación.

Vea nuestro curso de LOPD GDD

 

 

Obligaciones del Responsable del Tratamiento

El responsable del tratamiento es la persona física o jurídica que determina los fines y medios del tratamiento de datos personales. Sus obligaciones principales incluyen:

1. Cumplimiento de los Principios del RGPD

  • Licitud, Lealtad y Transparencia: Asegurar que el tratamiento de datos personales se realice de manera lícita, leal y transparente.
  • Limitación de la Finalidad: Recoger datos personales solo para fines específicos, explícitos y legítimos, y no tratarlos posteriormente de manera incompatible con esos fines.
  • Minimización de Datos: Asegurar que los datos personales sean adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se tratan.
  • Exactitud: Mantener los datos personales exactos y actualizados, tomando todas las medidas razonables para que los datos inexactos sean rectificados o suprimidos.
  • Limitación del Plazo de Conservación: Conservar los datos personales solo durante el tiempo necesario para cumplir con los fines del tratamiento.
  • Integridad y Confidencialidad: Implementar medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales y protegerlos contra el acceso no autorizado, la alteración, la destrucción o la pérdida.

2. Información y Transparencia

  • Información a los Interesados: Proporcionar a los interesados la información necesaria sobre el tratamiento de sus datos personales, incluyendo la identidad del responsable, los fines del tratamiento, la base legal, los derechos que les asisten y la forma de ejercerlos.

3. Derechos de los Interesados

  • Gestión de Solicitudes: Facilitar a los interesados el ejercicio de sus derechos (acceso, rectificación, supresión, limitación del tratamiento, oposición y portabilidad) y responder a las solicitudes en los plazos establecidos.

4. Registro de Actividades de Tratamiento

  • Documentación: Mantener un registro actualizado de todas las actividades de tratamiento realizadas, que debe incluir detalles como las finalidades del tratamiento, las categorías de datos, los destinatarios, y las medidas de seguridad aplicadas.

5. Evaluación de Impacto en la Protección de Datos (EIPD)

  • Evaluaciones: Realizar evaluaciones de impacto cuando el tratamiento pueda suponer un alto riesgo para los derechos y libertades de los interesados.

6. Contratos con Encargados del Tratamiento

  • Contratos: Celebrar contratos con los encargados del tratamiento que especifiquen claramente las obligaciones del encargado y garanticen que el tratamiento se realice conforme al RGPD.

7. Notificación de Brechas de Seguridad

  • Notificación a la Autoridad de Protección de Datos: Informar a la autoridad de protección de datos sobre cualquier brecha de seguridad que afecte a los datos personales, cuando sea necesario.
  • Notificación a los Interesados: Comunicar a los interesados afectados sobre las brechas de seguridad que puedan suponer un alto riesgo para sus derechos y libertades.

Obligaciones del Encargado del Tratamiento

El encargado del tratamiento es la persona física o jurídica que trata datos personales en nombre del responsable del tratamiento. Sus obligaciones incluyen:

1. Tratamiento Solo Según Instrucciones

  • Instrucciones del Responsable: Realizar el tratamiento de datos personales únicamente conforme a las instrucciones documentadas del responsable del tratamiento.

2. Medidas de Seguridad

  • Seguridad de los Datos: Implementar medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales y protegerlos contra el acceso no autorizado, la alteración, la destrucción o la pérdida.

3. Subcontratación

  • Subencargados: No subcontratar el tratamiento a otros terceros sin el consentimiento previo y por escrito del responsable. El contrato con los subencargados del tratamiento debe cumplir con los mismos requisitos que el contrato principal.

4. Cooperación con el Responsable

  • Asistencia: Cooperar con el responsable del tratamiento para garantizar el cumplimiento del RGPD y asistir en la gestión de las solicitudes de los interesados y en la notificación de brechas de seguridad.

5. Registro de Actividades de Tratamiento

  • Documentación: Mantener un registro de las actividades de tratamiento realizadas en nombre del responsable, similar al que debe llevar el responsable.

6. Evaluaciones de Impacto y Consultas Previas

  • Apoyo: Asistir al responsable en la realización de evaluaciones de impacto en la protección de datos y en la consulta previa con la autoridad de protección de datos si es necesario.

7. Eliminación o Devolución de Datos

  • Finalización del Tratamiento: Al finalizar el tratamiento o la relación contractual, eliminar o devolver todos los datos personales al responsable, salvo que la ley exija su conservación.

Compártelo en tus redes

[mr_rating_form]

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestra web. Si sigues utilizando este sitio asumimos que estás de acuerdo. VER

ACEPTAR