{"id":8989,"date":"2017-09-18T07:56:49","date_gmt":"2017-09-18T07:56:49","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/eugdpracademy\/knowledgebase\/eu-gdpr-controller-vs-processor-what-are-the-differences-2\/"},"modified":"2023-11-27T23:06:17","modified_gmt":"2023-11-27T23:06:17","slug":"responsable-vs-encargado-en-rgpd-ue-cuales-son-las-diferencias","status":"publish","type":"adv_resources","link":"https:\/\/advisera.com\/es\/articulos\/responsable-vs-encargado-en-rgpd-ue-cuales-son-las-diferencias\/","title":{"rendered":"Responsable vs encargado en RGPD UE \u2013 \u00bfCu\u00e1les son las diferencias?"},"content":{"rendered":"<p>Uno de los asuntos que ha levantado la mayor cantidad de dudas en las organizaciones con las que he trabajado es: \u201cDentro del alcance del RGPD UE (<a href=\"https:\/\/advisera.com\/gdpr\/\" target=\"_blank\" rel=\"noopener noreferrer\">Reglamento General de Protecci\u00f3n de Datos Uni\u00f3n Europea<\/a>), \u00bfcu\u00e1l es nuestra responsabilidad en relaci\u00f3n con los datos personales que nuestros clientes manejan dentro del alcance de sus actividades del negocio? Es decir, los datos personales son recolectados y procesados por nuestros clientes y nosotros s\u00f3lo los almacenamos.\u201d<\/p>\n<p>De hecho, algunas organizaciones no tienen control sobre sus datos (s\u00f3lo los almacenan) para sus clientes. La pregunta es: en el RGPD UE, \u00bfcu\u00e1les son las responsabilidades de estas organizaciones si solo almacenan datos personales? \u00bfEst\u00e1n cubiertos por las nuevas regulaciones europeas?<\/p>\n<h2><strong>Reglamento <\/strong><strong>General<\/strong><strong>\u00a0<\/strong><strong>de Protecci\u00f3n de <\/strong><strong>Dat<\/strong><strong>os Uni\u00f3n Europea<\/strong><strong> (<\/strong><strong>RGPD UE<\/strong><strong>)<\/strong><\/h2>\n<p>El nuevo reglamento (<a href=\"https:\/\/advisera.com\/eugdpracademy\/es\/que-es-la-rgpd-ue\/\" target=\"_blank\" rel=\"noopener noreferrer\">RGPD UE<\/a>) fue aprobado el 14 de abril del 2016, por el Parlamento Europeo y el Consejo de Europa. Ser\u00e1 aplicado en cada pa\u00eds, exactamente como es, por lo cual todos los pa\u00edses de la UE tendr\u00e1n los mismos derechos en lo concerniente a la privacidad de sus ciudadanos.\u00a0Lea el art\u00edculo: <a href=\"https:\/\/advisera.com\/es\/articulos\/que-es-rgpd-ue-y-porque-es-aplicable-a-todo-el-mundo\/\" target=\"_blank\" rel=\"noopener noreferrer\">\u00bfQu\u00e9 es el RGPD UE y por qu\u00e9 es aplicable en todo el mundo?<\/a>\u00a0para conocer m\u00e1s.<\/p>\n<p>En primer lugar, todas las organizaciones recolectan y\/o almacenan los datos personales de sus propios empleados en caso de que sean ciudadanos europeos; por lo tanto, todas las organizaciones, de la comunidad Europea o no, son responsables de tratar estos datos dentro del RGPD UE. Por otro lado, las organizaciones pueden almacenar datos personales de sus clientes directos o datos personales que sus clientes recolectan de personas naturales. Dentro del RGPD UE, \u00bfes la responsabilidad de la organizaci\u00f3n diferente dependiendo si recolecta los datos directamente de los interesados, o no?<br \/>\n<div id=\"middle-banner\" class=\"banner-shortcode\"><\/div><script>loadMiddleBanner();<\/script><div id=\"sidebar-banner-trigger\" class=\"banner-shortcode\"><\/div><\/p>\n<h2><strong>Responsable vs encargado<\/strong><\/h2>\n<p>De acuerdo al <a href=\"https:\/\/advisera.com\/gdpr\/definitions\/\" target=\"_blank\" rel=\"noopener noreferrer\">art\u00edculo 4<\/a> del RGPD UE, diferentes roles son identificados como se indican a continuaci\u00f3n:<\/p>\n<ul>\n<li>Responsable \u2013 \u201ces la persona f\u00edsica o jur\u00eddica<em>, autoridad p\u00fablica, agencia u otro ente que, solo o en conjunto con otros, determina los prop\u00f3sitos y medios del procesamiento de datos personales<\/em>\u201d<\/li>\n<li>Encargado \u2013 \u201ces la persona f\u00edsica o jur\u00eddica<em>, autoridad p\u00fablica, agencia u otro ente que procesa datos personales en nombre del <\/em><em>responsable<\/em>\u201d<\/li>\n<\/ul>\n<p>As\u00ed, las organizaciones que determinan los medios para procesar datos personales son responsables, sin importar si recogen o no directamente los datos de los interesados. Por ejemplo, un banco (responsable) recolecta los datos de sus clientes cuando abren una cuenta, pero es otra organizaci\u00f3n (encargado) quien almacena, digitaliza, y cataloga toda la informaci\u00f3n producida en papel por el banco. Estas compa\u00f1\u00edas pueden ser centros de datos o compa\u00f1\u00edas de gesti\u00f3n de documentos. Ambas organizaciones (responsable y encargado) son responsables por gestionar los datos de esos clientes.<\/p>\n<h2><strong>\u00bfCu\u00e1les son las responsabilidades de los <\/strong><strong>responsables<\/strong><strong>?<\/strong><\/h2>\n<p>De acuerdo al <a href=\"https:\/\/advisera.com\/gdpr\/principles-relating-to-processing-of-personal-data\/\" target=\"_blank\" rel=\"noopener noreferrer\">art\u00edculo 5<\/a> del RGPD UE, el responsable debe ser responsable por, y ser capaz de demostrar el cumplir con los principios relacionados con el tratamiento de datos personales: legalidad, justicia y transparencia, minimizaci\u00f3n de datos, exactitud, limitaci\u00f3n e integridad del almacenamiento, y la confidencialidad de los datos personales.<\/p>\n<p>De acuerdo al <a href=\"https:\/\/advisera.com\/gdpr\/responsibility-of-the-controller\/\" target=\"_blank\" rel=\"noopener noreferrer\">art\u00edculo 24<\/a> del RGPD UE, \u201c<em>el <\/em><em>responsable<\/em><em> debe implementar medidas t\u00e9cnicas y organizacionales apropiadas para asegurar y ser capaz de demostrar que el <\/em><em>trat<\/em><em>amiento se hace de acuerdo con esta regulaci\u00f3n, tomando en cuenta la naturaleza, alcance, contexto y prop\u00f3sito as\u00ed como los riesgos y sus probabilidades y la severidad de los derechos y libertades de las personas naturales.<\/em><em> Esas medidas deben ser revisadas y actualizadas cuando sea necesario.<\/em><em>\u201d<\/em><em>\u00a0<\/em><\/p>\n<p>Ejemplos de dichas medidas pueden ser la asignaci\u00f3n de responsabilidades para la protecci\u00f3n de datos, una evaluaci\u00f3n del impacto de protecci\u00f3n de datos y un plan de mitigaci\u00f3n de riesgos, o la implementaci\u00f3n de\u00a0la pseudonimizaci\u00f3n\u00a0(tratamiento de datos personales de tal manera que dichos datos no puedan ser atribuidos a un interesado en particular sin el uso de informaci\u00f3n adicional) y minimizaci\u00f3n de datos para cumplir los requerimientos de esta regulaci\u00f3n y proteger los derechos de los interesados.<\/p>\n<p>Si varias organizaciones comparten la responsabilidad de tratar datos personales, RGPD UE incluye la existencia de responsables conjuntos. Ellos deben determinar sus responsabilidades respectivas por acuerdo y proveer el contenido del acuerdo a los interesados, definiendo los medios de comunicaci\u00f3n con los encargados a trav\u00e9s de un solo punto de contacto.<\/p>\n<h2><strong>\u00bfCu\u00e1les so<\/strong><strong>n las responsabilidades de los <\/strong><strong>encargados<\/strong><strong>?<\/strong><\/h2>\n<p>De acuerdo al <a href=\"https:\/\/advisera.com\/gdpr\/processor\/\" target=\"_blank\" rel=\"noopener noreferrer\">art\u00edculo 28<\/a> del RGPD UE, \u201c<em>Donde se lleve a cabo <\/em><em>trat<\/em><em>amiento debe ser realizado en nombre de un <\/em><em>responsable<\/em><em>, el cual debe usar solo <\/em><em>encargados<\/em><em> que ofrezcan suficientes garant\u00edas para implementar las medidas t\u00e9cnicas y organizacionales apropiadas de manera tal que el <\/em><em>trat<\/em><em>amiento cumpl<\/em><em>a<\/em><em> los requerimientos de esta regulaci\u00f3n y asegure la protecci\u00f3n de los derechos de<\/em><em>\u00a0<\/em><em>l<\/em><em>os<\/em><em>\u00a0<\/em><em>intere<\/em><em>s<\/em><em>ados<\/em><em>.\u201d<\/em><\/p>\n<p>Esto significa que cualquier compa\u00f1\u00eda en la UE o fuera de ella que quiera permanecer en operaci\u00f3n, responsable o encargado, debe implementar los controles necesarios para asegurar que cumplen con RGPD UE, porque las multas pueden ser aplicadas tanto a responsables como a encargados. De acuerdo al <a href=\"https:\/\/advisera.com\/gdpr\/general-conditions-for-imposing-administrative-fines\/\" target=\"_blank\" rel=\"noopener noreferrer\">art\u00edculo 83<\/a>, las multas deben ser impuestas de acuerdo al \u201cgrado de responsabilidad del responsable o encargado tomando en cuenta las medidas t\u00e9cnicas y organizacionales implementadas.\u201d<\/p>\n<h2><strong>\u00bfLa implementaci\u00f3n de <\/strong><strong>ISO 27001 <\/strong><strong>satisface los requerimientos del RGPD UE<\/strong><strong>?<\/strong><\/h2>\n<p>La implementaci\u00f3n de\u00a0<a href=\"https:\/\/advisera.com\/27001academy\/es\/que-es-iso-27001\/\" target=\"_blank\" rel=\"noopener noreferrer\">ISO 27001<\/a> cubre la mayor parte de los requerimientos del RGPD UE; sin embargo, algunos controles adicionales deben ser adoptados para incluir a los datos personales dentro del\u00a0<a href=\"https:\/\/advisera.com\/27001academy\/es\/documentation\/documento-sobre-el-alcance-del-sgsi\/\" target=\"_blank\" rel=\"noopener noreferrer\">Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n<\/a>. Lea el art\u00edculo <a href=\"https:\/\/advisera.com\/27001academy\/blog\/2016\/10\/17\/does-iso-27001-implementation-satisfy-eu-gdpr-requirements\/\" target=\"_blank\" rel=\"noopener noreferrer\">Does ISO 27001 implementation satisfy EU GDPR requirements?<\/a>\u00a0para conocer m\u00e1s.<\/p>\n<p>Adicionalmente a lo planificado para la implementaci\u00f3n ISO 27001, algunas medidas tienen que ser incluidas para que la organizaci\u00f3n, responsable o encargado (ambos llevan a cabo estas actividades), pueda asegurar cumplimiento con el RGPD UE, tales como:<\/p>\n<ul>\n<li>procedimientos para asegurar el ejercicio de los derechos de los interesados<\/li>\n<li>mecanismos para la\u00a0<a href=\"https:\/\/advisera.com\/27001academy\/documentation\/information-transfer-policy\/\" target=\"_blank\" rel=\"noopener noreferrer\">transferencia<\/a>\u00a0de datos fuera de la UE<\/li>\n<li>m\u00ednimo contenido de la evaluaci\u00f3n de impacto en la protecci\u00f3n de datos<\/li>\n<li>procedimientos a seguir en caso de violaci\u00f3n de datos personales<\/li>\n<\/ul>\n<p>Todas estas medidas pueden integrarse en el Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n, permitiendo la garant\u00eda del cumplimiento legal y del mejoramiento continuo \u2013 a\u00fan m\u00e1s si est\u00e1n alineados el SGSI y el RGPD UE.<\/p>\n<p>Las organizaciones cubiertas por el RGPD UE, ya sean responsables o encargados, tienen hasta mayo del 2018 para implementar un conjunto de medidas que puede causar un cambio dr\u00e1stico en su manera de operar.\u00a0No saber por d\u00f3nde empezar puede hacer que el proceso sea muy complejo. La implementaci\u00f3n de un SGSI puede ser lo que le falta a la organizaci\u00f3n para cumplir con el RGPD UE.<\/p>\n<p><em>Lea este informe gratuito<\/em><em>:\u00a0<\/em><a href=\"https:\/\/info.advisera.com\/eugdpracademy\/es\/descarga-gratuita\/que-es-rgpd-ue-y-como-puede-ayudar-iso-27001\" target=\"_blank\" rel=\"noopener noreferrer\"><em>\u00bfQu\u00e9 es RGPD UE y c\u00f3mo puede ayudar <\/em>ISO 27001?<\/a> <em>para conocer m\u00e1s acerca de protecci\u00f3n de la privacidad.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Uno de los asuntos que ha levantado la mayor cantidad de dudas en las organizaciones con las que he trabajado es: \u201cDentro del alcance del RGPD UE (Reglamento General de Protecci\u00f3n de Datos Uni\u00f3n Europea), \u00bfcu\u00e1l es nuestra responsabilidad en relaci\u00f3n con los datos personales que nuestros clientes manejan dentro del alcance de sus actividades [&hellip;]<\/p>\n","protected":false},"author":47,"featured_media":86078,"comment_status":"open","ping_status":"closed","template":"","tags":[],"class_list":["post-8989","adv_resources","type-adv_resources","status-publish","has-post-thumbnail","hentry","adv_resource_type-articles-es","adv_standard-eu-gdpr","adv_topic-basics","adv_level-beginner"],"acf":[],"_links":{"self":[{"href":"https:\/\/advisera.com\/es\/wp-json\/wp\/v2\/adv_resources\/8989","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/advisera.com\/es\/wp-json\/wp\/v2\/adv_resources"}],"about":[{"href":"https:\/\/advisera.com\/es\/wp-json\/wp\/v2\/types\/adv_resources"}],"author":[{"embeddable":true,"href":"https:\/\/advisera.com\/es\/wp-json\/wp\/v2\/users\/47"}],"replies":[{"embeddable":true,"href":"https:\/\/advisera.com\/es\/wp-json\/wp\/v2\/comments?post=8989"}],"version-history":[{"count":0,"href":"https:\/\/advisera.com\/es\/wp-json\/wp\/v2\/adv_resources\/8989\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/advisera.com\/es\/wp-json\/wp\/v2\/media\/86078"}],"wp:attachment":[{"href":"https:\/\/advisera.com\/es\/wp-json\/wp\/v2\/media?parent=8989"}],"wp:term":[{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/advisera.com\/es\/wp-json\/wp\/v2\/tags?post=8989"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}