Para mantener seguros los datos de los consumidores, la Unión Europea (UE) implementó una rigurosa ley de privacidad y seguridad conocida como Reglamento General de Protección de Datos (Reglamento General de Protección de Datos). El Reglamento General de Protección de Datos define y hace valer los derechos de los ciudadanos de la UE respecto a sus datos personales. Implementa estándares de responsabilidad, seguridad y transparencia en el uso de esos datos.

Las compañías globales que operan en la Unión Europea o gestionan datos personales de la UE deben entender cómo les afectará el Reglamento General de Protección de Datos y cómo mantener el cumplimiento del Reglamento General de Protección de Datos.

Uno de los aspectos de ese cumplimiento es la implementación de un acuerdo de procesamiento de datos (DPA). Un Reglamento General de Protección de Datos de Acuerdo de Tratamiento de Datos especifica los detalles, normas, derechos y obligaciones asociados a las actividades de tratamiento de datos. Ayuda a garantizar el cumplimiento de la compañía, proteger los datos y mantener a los consumidores protegidos y satisfechos.

Esta guía ofrece una visión más detallada de cómo funcionan los DPA y qué incluir en un DPA.

¿Qué es una DPA bajo el Reglamento General de Protección de Datos?

Un acuerdo de procesamiento de datos es un contrato firmado entre los responsables del tratamiento de datos y los responsables que gestionarán sus datos. Es obligatorio para cumplir plenamente con el Reglamento General de Protección de Datos.

Un DPA establece la naturaleza, el propósito y la duración de las actividades de procesamiento que se llevarán a lugar. También especifica el tipo de datos personales a tratar y las categorías de personas a las que pertenecen los datos. Define los derechos y obligaciones que tendrá el controlador. Puede especificar el uso de medidas técnicas de seguridad, como un cierto nivel de cifrado, que debe estar en vigor.

Una DPA es legalmente vinculante, y el responsable de la administración y el responsable de los datos deben cumplirla o arriesgar a sanciones severas.

El principal beneficio de una DPA es que garantiza las cualificaciones y la fiabilidad del procesador de datos. Las compañías necesitan saber que sus datos están en buenas manos y que son privados y protegidos de miradas indiscretas. Un DPA ayuda a proporcionar esas garantías.

El Reglamento General de Protección de Datos y sus requisitos de la DPA probablemente tendrán impactos significativos en la operación empresarial en el futuro. Las transacciones comerciales pueden cambiar a medida que la recopilación de datos personales se limite, la comunicación sobre la recopilación y almacenamiento de datos se vuelve esencial y las relaciones con proveedores externos requieren contratos más rigurosos. Las compañías individuales y sus departamentos de Recursos Humanos sufrirán impactos extensos al adaptar sus procesos para cumplir con los requisitos del Reglamento General de Protección de Datos.

El beneficio de los requisitos del Reglamento General de Protección de Datos es que la confianza puede florecer en los negocios a medida que las personas se sienten más seguras de la privacidad y protección de sus datos.

¿Cuándo se requiere un acuerdo de procesamiento de datos?

¿Necesitas un acuerdo de procesamiento de datos? Puede hacerlo si manejas datos personales dentro o procedentes de la UE.

Según el Reglamento General de Protección de Datos, un documento de DPA es obligatorio siempre que una persona u organización facilite datos personales a un proveedor de servicios externo para un servicio colaborativo. Cualquier parte que actúe como procesadores de datos debe firmar acuerdos de acuerdo acordados con los responsables de los tratamientos.

Por ejemplo, en la UE, un servicio que aloja un sitio web debe firmar un acuerdo de acuerdo con la compañía a la que pertenece el sitio web. Una compañía que procesa datos personales para ofrecer marketing al consumidor dirigido también debe firmar un acuerdo de aprobación (DPA).

A continuación se presentan varios otros servicios y escenarios empresariales comunes que requieren DPA:

  • Gestión de email tercerización
  • Soluciones técnicas de procesamiento de datos para contabilidad financiera y de nóminas
  • Servicios de copia de seguridad de datos, ya sea a través de servidores físicos o en la nube
  • Recogida o digitalización de datos a través de un proveedor de servicios externo
  • Eliminación de hardware antiguo que contiene datos personales

En algunos casos, el Reglamento General de Protección de Datos puede exigir DPAs para compañías fuera de Europa. Este requisito entra en juego siempre que se involucran datos de la UE. Por ejemplo, una compañía ubicada en Canadá podría estar sujeta al requisito de la DPA si gestiona datos sobre ciudadanos de la UE.

¿Cuándo no se requiere un DPA?

Cuando no se requiere una DPA, la tabla incluye asociaciones, servicios de portal, agencias de cobro y gestión conjunta de datos de varias compañías.

Varios escenarios específicos no requieren DPA. Cuentan con protecciones integradas que hacen innecesaria la protección DPA. Considera lo siguiente para que puedas comprender mejor las obligaciones de tu compañía en estas circunstancias:

  1. Alianzas con grupos profesionales que tienen requisitos de confidencialidad: En muchas profesiones, las mejores prácticas consisten en que los proveedores de servicios tengan acuerdos de confidencialidad personalizados y específicos de cada sector que cubran todas las medidas de seguridad y requisitos de privacidad que requeriría una DPA. Algunas profesiones que suelen emplear estos acuerdos de confidencialidad incluyen el derecho, la consultoría fiscal y la auditoría financiera. Muchos servicios sanitarios suelen incluir también sus propias garantías rigurosas de confidencialidad.
  2. Servicios del portal: Los servicios que simplemente conectan a personas o entidades suelen estar exentos de los requisitos de la DPA. Estos servicios profesionales de emparejamiento son tan efímeros que un DPA tendría poco beneficio. Por ejemplo, los reclutadores entran en esta categoría. Simplemente conectan a personas que buscan trabajo con compañías que buscan nuevos miembros talentosos en el equipo. Este escenario hace innecesario un acuerdo de apoyo con el reclutador.
  3. Colabora con agencias de cobro de deudas: Las agencias de cobro de deudas acceden a información financiera personal e información médica. Dado que las agencias de cobro están separadas de los acreedores originales y cobran la deuda para su propio beneficio, están exentas de los requisitos de la DPA. Si trabajaban en nombre de los acreedores originales, las agencias de cobro tendrían que firmar acuerdos de recobro.
  4. Gestión conjunta de datos de varias compañías: En algunos casos, las compañías trabajan en grupo para gestionar una recopilación de datos. Este escenario suele ocurrir cuando las compañías tienen acceso conjunto a datos de proveedores, productos o clientes potenciales. Aunque las compañías puedan ser competidoras, emplean los mismos datos para los mismos fines generales. La escala de este uso de datos generalmente significa que una DPA no es obligatoria.
  5. Ensayos clínicos: Los ensayos clínicos farmacéuticos a gran escala no suelen emplear DPAs debido a la gran cantidad de factores que implican. Los médicos, centros de investigación y patrocinadores tienen acceso a los datos del tema, y cada uno los procesa de forma diferente según sus necesidades. Los datos recogidos también suelen servir para diversos propósitos a lo largo del ensayo clínico. En estas circunstancias, las DPA generalmente no se aplican.

¿Quién es el responsable del tratamiento de datos?

Cada acuerdo DPA se realiza entre un controlador de datos y un procesador de datos. El responsable de los datos es la organización o individuo que determina cómo y por qué procesar los datos personales. Si tu compañía decide enviar datos a un tercero para que los respalden en sus servidores, tu compañía es el responsable del tratamiento de datos.

La característica definitoria de un controlador de datos es la capacidad de toma de decisiones. El responsable de la administración de datos toma decisiones generales sobre las razones de la recogida de datos y las formas en que debe llevar el tratamiento de los datos personales.

En la mayoría de los casos, una compañía u organización es el responsable del tratamiento de datos. El procesador de datos es una entidad separada que contrata con la compañía. Una persona como un autónomo o un trabajador autónomo también puede ser un controlador de datos si esa persona toma decisiones sobre la recopilación y el procesamiento de datos personales.

¿Quién es el procesador de datos?

El procesador de datos es el tercero que procesa los datos para un controlador de datos. En el escenario anterior, si tu compañía decide enviar tus datos para copia de seguridad, la compañía que proporciona los servicios de respaldo es el procesador de datos.

El procesador de datos puede adoptar muchas formas. Puede ser una compañía, un individuo o una autoridad pública. El criterio relevante es si esa persona o entidad procesa los datos en nombre de un responsable de la administración de datos.

¿Qué incluye un documento de la DPA?

Los artículos 2836 del Reglamento General de Protección de Datos especifican qué obligaciones contractuales son obligatorias para el responsable del tratamiento de datos según las normas de la DPA del Reglamento General de Protección de Datos. A continuación se presentan algunas de las cláusulas de la DPA requeridas:

1. Un desglose exhaustivo de los detalles del manejo de datos

La DPA debe proporcionar detalles completos sobre cómo se realizará cada aspecto del procesamiento de datos. La DPA debe incluir información clara sobre temas como:

  • El tipo de datos personales a tratar
  • El tema de los datos
  • Las categorías de los sujetos de datos
  • La finalidad y naturaleza del procesamiento
  • La duración esperada del procesamiento de datos
  • La base legal para el tratamiento de datos personales
  • La devolución o eliminación de datos personales al finalizar el procesamiento

2. Los derechos y responsabilidades del responsable responsable y del responsable de los datos

La DPA garantiza claridad sobre quién controla el manejo de los datos.

Al especificar los derechos y responsabilidades de ambas partes, la Ley de Protección de Datos garantiza la claridad sobre quién controla el tratamiento de los datos.

La DPA debe indicar explícitamente que el responsable responsable de los datos debe realizar el procesamiento conforme a los deseos y especificaciones del responsable de datos. Debe especificar que el controlador, y no el procesador, mantiene el control total sobre los datos y lo que ocurre con ellos.

La DPA debe ordenar al responsable del tratamiento de datos que procese los datos únicamente según las instrucciones directas del responsable, desviar de esas instrucciones solo cuando las leyes de la UE o de alguno de los estados miembros lo requieran.

3. Medidas de confidencialidad requeridas para el procesador de datos

La DPA debe especificar los protocolos que debe seguir el procesador de datos para garantizar la confidencialidad de los datos personales.

Por ejemplo, el procesador de datos debe exigir a empleados permanentes, empleados temporales y subcontratistas que firmen acuerdos de confidencialidad antes de poder comenzar a procesar datos personales. La única vez que un acuerdo de confidencialidad se vuelve innecesario es cuando una obligación legal ya exige al responsable del procesador garantizar la confidencialidad.

4. Protocolos técnicos y organizacionales requeridos para la seguridad de la información

La DPA debe detallar las medidas de seguridad que el procesador de datos debe implementar, incluyendo medidas como estas cuando sea apropiado:

  • Cifrado de datos
  • Seudonimización sujeta de datos
  • Protocolos para garantizar la confidencialidad, disponibilidad, resiliencia y seguridad de todos los sistemas de procesamiento de datos
  • Procesos para restaurar el acceso a datos personales tras un ataque o brecha
  • Un programa regular para probar y evaluar la eficacia de todas las medidas de seguridad

Muchos procesadores pueden desear obtener certificaciones formales o elaborar códigos oficiales de conducta que atestiguen sus protocolos implementados. Medidas como estas ayudan a garantizar que su tratamiento de datos cumple plenamente con el Reglamento General de Protección de Datos.

5. Términos para cualquier contrato de subcontratista

La DPA también debe detallar los requisitos que el procesador de datos debe imponer a sus subcontratistas. Por ejemplo, el procesador debe cerciorar de cumplir con estas normas y mejores prácticas:

  • Emplear subcontratistas únicamente con el consentimiento expreso y autorización del responsable del tratamiento de datos
  • Redacción y firma de contratos que imponen los mismos requisitos de seguridad de datos al subcontratista que el propio procesador de datos debe cumplir
  • Garantizar el cumplimiento del subcontratista con los requisitos de protección de datos
  • Informar al responsable de datos sobre cualquier cambio que involucre a subcontratistas y dar tiempo al controlador para responder

6. Obligaciones de cooperación para el procesador de datos

El procesador de datos también debe permitir que el controlador realice auditorías de cumplimiento durante el procesamiento.

La DPA debe especificar cuándo y cómo el responsable de los datos debe cooperar con el responsable de la información. Por ejemplo, el procesador de datos debe cooperar para ayudar a resolver solicitudes de acceso a datos. El procesador también debe cooperar en la protección de la privacidad y los derechos de los sujetos de datos, especialmente cumpliendo con estos requisitos:

  • Garantizar la seguridad de los datos personales
  • Notificar rápidamente a las autoridades y a los sujetos de datos sobre las violaciones de datos personales
  • Realizar evaluaciones de impacto en protección de datos (DPIAs) según sea necesario
  • Consultar a las autoridades competentes cuando surjan riesgos graves de datos

El procesador de datos también debe permitir que el controlador realice auditorías de cumplimiento durante el procesamiento. Durante las auditorías, el responsable debe proporcionar prontamente al responsable de la ley toda la información relevante que demuestre que cumplió con sus obligaciones de cumplimiento conforme al Artículo 28 del Reglamento General de Protección de Datos.

Las mejores prácticas también son que el procesador mantenga registros de sus actividades de procesamiento para demostrar el cumplimiento del Reglamento General de Protección de Datos.

¿Qué ocurre tras una brecha de datos bajo una DPA?

Si se produce una brecha de datos, las compañías implicadas deben tomar acciones específicas e inmediatas. Su compañía debe notificar a la autoridad supervisora correspondiente en un plazo de 72 horas si la brecha supone riesgos graves.

Si la brecha supone un riesgo muy alto para las personas afectadas, tu compañía normalmente debe notificar también a esas personas. Sin embargo, si tu compañía ya cuenta con protocolos efectivos de reducción de riesgos técnicos y organizacionales, puede que no sea necesaria una notificación.

Por ejemplo, imagina que una compañía de tarjetas de crédito sufrió una brecha de datos debido a un ataque a los servidores donde almacenaba sus datos. La información financiera personal de sus clientes se vio comprometida. Sus nombres, direcciones de casa, información adicional de contacto, detalles financieros y los tipos de pagos que realizaron en sus tarjetas de crédito se hicieron públicos.

La compañía que aloja los servidores tendría que notificar a las autoridades sobre la brecha en un plazo de 72 horas. También tendría que notificar a la compañía de tarjetas de crédito.

Probablemente la compañía tendría que informar a los consumidores, ya que la divulgación de su información personal podría ponerlos en riesgo. La brecha también podría dar lugar a la divulgación de información sanitaria sensible y protegida de los consumidores si realizaron pagos médicos con sus tarjetas de crédito.

¿Cuáles son las sanciones por incumplimiento del Reglamento General de Protección de Datos? 

Si se produce una brecha de datos, la compañía que se considere incumplidora será sujeta a medidas disciplinarias. Una posible infracción solo recibe una advertencia. Los incidentes de incumplimiento confirmados pueden estar sujetos a una o más de estas sanciones:

  1. Una reprimenda formal
  2. Una prohibición temporal o permanente del procesamiento de datos
  3. Una multa de hasta20 millones de euroso el 4 por ciento de los ingresos globales anuales totales de la compañía

Contrata profesionales de seguridad de datos para tu equipo con G-P

Cuando estés formando equipos internacionales centrados en la seguridad de datos, trabaja con G-P. Nuestros equipos de profesionales pueden ayudarte a entender las normativas de acuerdos de procesamiento de datos que se aplican a tu compañía.

Contar con responsables de protección de datos y otros profesionales legales en tu equipo es esencial para mantener en cumplimiento de la DPA. Como Plataforma global de empleo (Empleador de Registro), G-P te ayuda a contratar y pagar al talento internacional que necesitas para tener éxito. Nos tomamos muy en serio la privacidad de los datos y podemos ayudarte a cumplir con las leyes laborales y proteger tu información confidencial mientras haces crecer tu compañía internacionalmente.

En G-P, te ayudamos a agilizar tus procesos de contratación. Empleando nuestra plataforma global de empleo full-stack, puedes contratar e incorporar a tus nuevos afiliados a equipo con solo unos clics, ahorrando tiempo y agilizando tu enfoque ante los retos del crecimiento empresarial internacional.

Aplicar una propuesta hoy mismo o contáctanos para saber cómo contratar profesionales de seguridad de datos a través de nuestra plataforma.