Para mantener seguros los datos de los consumidores, la Unión Europea (UE) ha implementado una rigurosa ley de privacidad y seguridad conocida como el Reglamento General de Protección de Datos (RGPD). El RGPD define y hace cumplir los derechos de los ciudadanos de la UE con respecto a sus datos personales. Implementa estándares de responsabilidad, seguridad y transparencia en el uso de esos datos.
Las empresas globales que operan en la Unión Europea o manejan datos personales de la UE deben comprender cómo las afectará el RGPD y cómo mantener el cumplimiento del RGPD.
Un aspecto de ese cumplimiento es implementar un acuerdo de procesamiento de datos (Data Processing Agreement, DPA). Un acuerdo de procesamiento de datos del RGPD especifica los detalles, las reglas, los derechos y las obligaciones asociados con las actividades de procesamiento de datos. Ayuda a garantizar el cumplimiento de la empresa, proteger los datos y mantener a los consumidores protegidos y satisfechos.
Esta guía proporciona una visión más detallada de cómo funcionan los DPA y qué incluir en un DPA.
¿Qué es un DPA en virtud del RGPD?
Un acuerdo de procesamiento de datos es un contrato firmado entre los controladores de datos y los procesadores de datos que manejarán sus datos. Se requiere para el cumplimiento completo del RGPD.
Un DPA establece la naturaleza, el propósito y la duración de las actividades de procesamiento que se llevarán a cabo. También especifica el tipo de datos personales que se procesarán y las categorías de personas a las que pertenecen los datos. Define los derechos y obligaciones que tendrá el controlador. Puede especificar el uso de medidas de seguridad técnicas, como un cierto nivel de cifrado, que deben implementarse.
Un DPA es legalmente vinculante, y el controlador y el procesador de datos deben cumplirlo o arriesgarse a sanciones graves.
El principal beneficio de un DPA es que garantiza las calificaciones y la confiabilidad del procesador de datos. Las empresas necesitan saber que sus datos están en buenas manos y que son privados y seguros de los ojos indiscretas. Un DPA ayuda a proporcionar esas garantías.
Es probable que el RGPD y sus requisitos de DPA tengan impactos significativos en las operaciones comerciales en el futuro. Las transacciones comerciales pueden cambiar a medida que la recopilación de datos personales se vuelve más limitada, la comunicación sobre la recopilación y el almacenamiento de datos se vuelve esencial, y las relaciones con proveedores externos requieren contratos más rigurosos. Las empresas individuales y sus departamentos de RR. HH. sentirán un gran impacto a medida que adapten sus procesos para cumplir con los requisitos del RGPD.
La ventaja de los requisitos del RGPD es que la confianza puede florecer en los negocios a medida que las personas se vuelven más seguras de la privacidad y protección de sus datos.
¿Cuándo se requiere un acuerdo de procesamiento de datos?
¿Necesita un acuerdo de procesamiento de datos? Puede manejar datos personales dentro o desde la UE.
En virtud del RGPD, un documento de DPA es obligatorio siempre que una persona u organización proporcione datos personales a un proveedor de servicios externo para un servicio colaborativo. Cualquier parte que actúe como procesador de datos debe firmar DPA con los controladores de datos.
Por ejemplo, en la UE, un servicio que aloja un sitio web debe firmar un DPA con la compañía a la que pertenece el sitio web. Una empresa que procesa datos personales para proporcionar marketing dirigido al consumidor también debe firmar un DPA.
A continuación se presentan otros servicios comerciales comunes y escenarios que requieren DPA:
- Tercerización de gestión de correo electrónico
- Soluciones técnicas de procesamiento de datos para contabilidad financiera y de nómina
- Servicios de copia de seguridad de datos, ya sea a través de servidores físicos o en la nube
- Recopilación de datos o digitalización a través de un proveedor de servicios externo
- Eliminación de hardware antiguo que contiene datos confidenciales
En algunos casos, el RGPD puede requerir DPA para empresas fuera de Europa. Este requisito entra en juego cada vez que se involucran datos de la UE. Por ejemplo, una empresa ubicada en Canadá podría estar sujeta al requisito de DPA si maneja datos relacionados con ciudadanos de la UE.
¿Cuándo no se requiere un DPA?
Varios escenarios específicos no requieren DPA. Tienen protecciones integradas que hacen innecesaria la protección de DPA. Considere lo siguiente para poder comprender mejor las obligaciones de su empresa en estas circunstancias:
- Asociaciones con grupos profesionales que tienen requisitos de confidencialidad: en muchas profesiones, las mejores prácticas son que los proveedores de servicios tengan acuerdos de confidencialidad personalizados y específicos de la industria que cubran todas las medidas de seguridad y los requisitos de privacidad que un DPA requeriría. Algunas profesiones que generalmente utilizan estos acuerdos de confidencialidad incluyen leyes, consultoría fiscal y auditoría financiera. Muchos servicios de atención médica generalmente también vienen con sus propias garantías de confidencialidad rigurosas.
- Servicios del portal: los servicios que simplemente conectan a personas o entidades generalmente están exentos de los requisitos de DPA. Estos servicios profesionales de emparejamiento son tan transitorios que un DPA tendría poco beneficio. Los reclutadores entran en esta categoría, por ejemplo. Simplemente conectan a las personas que buscan trabajo con compañías que buscan nuevos miembros talentosos del equipo. Este escenario hace que un DPA con el reclutador sea innecesario.
- Trabajar con agencias de cobro de deudas: las agencias de cobro de deudas obtienen acceso a información financiera personal e información médica. Debido a que las agencias de cobro están separadas de los acreedores originales y cobran la deuda para su propio beneficio, están exentas de los requisitos de DPA. Si estuvieran trabajando en nombre de los acreedores originales, las agencias de cobro tendrían que firmar DPA.
- Gestión conjunta de datos de varias empresas: en algunos casos, las empresas trabajan como grupo para gestionar una recopilación de datos. Este escenario a menudo ocurre cuando las empresas tienen acceso conjunto a datos de proveedores, productos o clientes potenciales. Aunque las empresas pueden ser competidores, utilizan los mismos datos para los mismos fines generales. La escala de este uso de datos generalmente significa que un DPA no es obligatorio.
- Ensayos clínicos: Los ensayos clínicos farmacéuticos a gran escala generalmente no utilizan DPA debido a los numerosos contribuyentes que implican. Los médicos, los centros de investigación y los patrocinadores tienen acceso a los datos de los sujetos, y todos los procesan de manera diferente según sus necesidades. Los datos recopilados generalmente también sirven para diversos propósitos durante todo el ensayo clínico. En estas circunstancias, los DPA generalmente no se aplican.
¿Quién es el controlador de datos?
Cada acuerdo de DPA tiene lugar entre un controlador de datos y un procesador de datos. El controlador de datos es la organización o persona que determina cómo y por qué procesar datos personales. Si su empresa decide enviar datos a un tercero para su copia de seguridad en sus servidores, su empresa es el controlador de datos.
La característica definitoria de un controlador de datos es el poder de toma de decisiones. El controlador de datos toma determinaciones generales sobre los motivos de la recopilación de datos y las formas en que debe ocurrir el procesamiento de datos personales.
En la mayoría de los escenarios, una empresa u organización es el controlador de datos. El procesador de datos es una entidad separada que tiene contrato con la compañía. Una persona, como un propietario único o un trabajador autónomo, también puede ser un controlador de datos si esa persona toma decisiones sobre la recopilación y el procesamiento de datos personales.
¿Quién es el procesador de datos?
El procesador de datos es el tercero que procesa los datos para un controlador de datos. En el escenario anterior, si su empresa decide enviar sus datos para su copia de seguridad, la empresa que proporciona los servicios de copia de seguridad es el procesador de datos.
El procesador de datos puede tomar muchas formas. Puede ser una compañía, una persona o una autoridad pública. El criterio relevante es si esa persona o entidad procesa o no datos en nombre de un controlador de datos.
¿Qué incluye un documento de DPA?
Los artículos 28-36 del RGPD especifican qué obligaciones contractuales son obligatorias para el procesador de datos en virtud de las normas de DPA del RGPD. A continuación se presentan algunas de las cláusulas de DPA requeridas:
1. Un desglose exhaustivo de los detalles del manejo de datos
El DPA debe proporcionar detalles integrales sobre cómo ocurrirá cada aspecto del procesamiento de datos. El DPA debe incluir información clara sobre temas como:
- El tipo de datos personales que se procesarán
- El tema de los datos
- Las categorías de los interesados
- El propósito y la naturaleza del procesamiento
- La duración esperada del procesamiento de datos
- La base legal para el procesamiento de datos personales
- La devolución o eliminación de datos personales al final del procesamiento
2. Derechos y responsabilidades del controlador y procesador de datos
Al especificar los derechos y responsabilidades de ambas partes, el DPA garantiza la claridad sobre quién controla el manejo de datos.
El DPA debe indicar explícitamente que el procesador de datos debe realizar el procesamiento de acuerdo con los deseos y las especificaciones del controlador de datos. Debe especificar que el controlador, no el procesador, conserva el control total sobre los datos y lo que le sucede.
El DPA debe indicar al procesador de datos que procese los datos solo de acuerdo con las instrucciones directas del controlador de datos, desviándose de esas instrucciones solo cuando las leyes de la UE o una de las leyes de los estados miembros lo requieran.
3. Medidas de confidencialidad requeridas para el procesador de datos
El DPA debe especificar los protocolos que el procesador de datos debe seguir para garantizar la confidencialidad de los datos personales.
Por ejemplo, el procesador de datos debe exigir que los empleados permanentes, los empleados temporales y los subcontratistas firmen acuerdos de confidencialidad antes de que puedan comenzar a procesar datos personales. El único momento en que un acuerdo de confidencialidad se vuelve innecesario es cuando una obligación legal ya requiere que el procesador garantice la confidencialidad.
4. Protocolos técnicos y organizativos requeridos para la seguridad de la información
El DPA debe describir las medidas de seguridad que el procesador de datos debe implementar, incluidas medidas como estas cuando corresponda:
- Cifrado de datos
- Seudonimización del sujeto de datos
- Protocolos para garantizar la confidencialidad, disponibilidad, resiliencia y seguridad de todos los sistemas de procesamiento de datos
- Procesos para restaurar el acceso a los datos personales después de un ataque o una violación
- Un programa regular para probar y evaluar la efectividad de todas las medidas de seguridad
Es posible que muchos procesadores deseen obtener certificaciones formales o redactar códigos de conducta oficiales que certifiquen sus protocolos implementados. Medidas como estas ayudan a proporcionar garantías de que su procesamiento de datos cumple plenamente con el RGPD.
5. Términos para cualquier contrato de subcontratista
El DPA también debe describir los requisitos que el procesador de datos debe imponer a sus subcontratistas. Por ejemplo, el procesador debe asegurarse de cumplir con estas reglas y mejores prácticas:
- Emplear subcontratistas solo con el consentimiento expreso y la autorización del controlador de datos
- Redactar y firmar contratos que impongan los mismos requisitos de seguridad de datos al subcontratista que el propio procesador de datos debe seguir
- Garantizar el cumplimiento del subcontratista con los requisitos de protección de datos
- Informar al controlador de datos sobre cualquier cambio que involucre a subcontratistas y darle tiempo al controlador para responder
6. Obligaciones de cooperación para el procesador de datos
El DPA debe especificar cuándo y cómo el procesador de datos debe cooperar con el controlador de datos. Por ejemplo, el procesador de datos debe cooperar para ayudar a resolver las solicitudes de acceso a datos. El procesador también debe cooperar en la protección de la privacidad y los derechos de los interesados, especialmente al cumplir con estos requisitos:
- Garantizar la seguridad de los datos personales
- Notificar de inmediato a las autoridades y a los interesados sobre las violaciones de datos personales
- Realizar evaluaciones de impacto de protección de datos (DPIA) según sea necesario
- Consultar a las autoridades pertinentes cuando surjan riesgos graves de datos
El procesador de datos también debe permitir que el controlador de datos lleve a cabo auditorías de cumplimiento durante el procesamiento. Durante las auditorías, el procesador debe proporcionar de inmediato al controlador toda la información relevante para demostrar que ha cumplido con sus obligaciones de cumplimiento en virtud del Artículo 28 del RGPD.
Las mejores prácticas también son para que el procesador mantenga registros de sus actividades de procesamiento para demostrar el cumplimiento del RGPD.
¿Qué sucede después de una violación de datos en virtud de un DPA?
Si se produce una violación de datos, las empresas involucradas deben tomar medidas específicas e inmediatas. Su compañía debe notificar a la autoridad supervisora pertinente dentro 72 de las horas si la violación plantea riesgos graves.
Si la violación representa un riesgo muy alto para las personas afectadas, su empresa generalmente debe notificar a esas personas también. Sin embargo, si su empresa ya cuenta con protocolos de mitigación de riesgos técnicos y organizativos efectivos, es posible que no sea necesaria una notificación.
Por ejemplo, imagine que una compañía de tarjetas de crédito ha sufrido una violación de datos debido a un ataque a los servidores donde almacenó sus datos. La información financiera personal de sus clientes se ha visto comprometida. Sus nombres, direcciones particulares, información de contacto adicional, detalles financieros y los detalles de los tipos de pagos que hicieron en sus tarjetas de crédito se han hecho públicos.
La empresa que aloja los servidores deberá notificar a las autoridades sobre la violación en cuestión de 72 horas. También tendría que notificar a la compañía de la tarjeta de crédito.
Es probable que la compañía deba informar a los consumidores, ya que la divulgación de su información de identificación personal podría ponerlos en riesgo. La violación también podría llevar a divulgaciones de la información médica protegida y sensible de los consumidores si hubieran realizado pagos médicos con sus tarjetas de crédito.
¿Cuáles son las sanciones por incumplimiento del RGPD?
Si se produce una violación de datos, la compañía que no cumpla con los requisitos estará sujeta a medidas disciplinarias. Una probable infracción simplemente recibe una advertencia. Los incidentes de incumplimiento confirmados pueden quedar sujetos a una o más de estas sanciones:
- Una reprimenda formal
- Prohibición temporal o permanente del procesamiento de datos
- A fine of up to EUR€20 million or 4 percent of the company’s total annual global revenues
Contratar profesionales de seguridad de datos para su equipo con Globalization Partners
Cuando construya equipos internacionales enfocados en la seguridad de los datos, trabaje con Globalization Partners. Nuestros equipos de profesionales pueden ayudarlo a comprender las regulaciones del acuerdo de procesamiento de datos que se aplican a su empresa.
Tener funcionarios de protección de datos y otros profesionales legales en su equipo es esencial para mantener el cumplimiento de la DPA. Como Empleador de Registro (Employer of Record, EOR) global, Globalization Partners lo ayuda a contratar y pagar el talento internacional que necesita para el éxito. Tomamos muy en serio la privacidad de los datos y podemos ayudarle a cumplir con las leyes laborales locales y proteger su información confidencial a medida que escala su empresa internacionalmente.
En Globalization Partners, le ayudamos a acelerar sus procesos de contratación. Con nuestra Global Employment Platform global de pila completa, puede contratar e incorporar a los nuevos miembros de su equipo con solo unos pocos clics, ahorrando tiempo y optimizando su enfoque ante los retos del crecimiento internacional de la empresa.
Solicite una propuesta hoy mismo o comuníquese con nosotros para obtener información sobre la contratación de profesionales de seguridad de datos a través de nuestra plataforma.