Test: Responsable, encargado y seguridad del tratamiento
Domina las obligaciones del responsable y del encargado del tratamiento en el RGPD: la responsabilidad proactiva (accountability), la protección de datos desde el diseño y por defecto, el contrato de encargo del art. 28, el registro de actividades de tratamiento, las medidas de seguridad y, sobre todo, el plazo de 72 horas para notificar una violación de seguridad a la autoridad de control. Basado en los arts. 24 a 34 del RGPD (Reglamento UE 2016/679).
⚖️ Fuente: Reglamento (UE) 2016/679, General de Protección de Datos (arts. 24-34) · RGPD · 12 preguntas
Pregunta 1 de 12
El art. 24 del RGPD impone al responsable del tratamiento aplicar medidas técnicas y organizativas apropiadas a fin de:
📖 Art. 24 RGPD
Explicación: El art. 24 del RGPD consagra la responsabilidad proactiva (accountability): el responsable aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento, revisándolas y actualizándolas cuando sea necesario.
La protección de datos desde el diseño y por defecto se regula en el art. 25 del RGPD, que exige al responsable, por defecto:
📖 Art. 25 RGPD
Explicación: El art. 25 del RGPD establece la protección de datos desde el diseño y por defecto: el responsable aplicará medidas para garantizar que, por defecto, solo sean objeto de tratamiento los datos personales necesarios para cada fin específico del tratamiento (minimización).
Cuando dos o más responsables determinan conjuntamente los objetivos y medios del tratamiento, el art. 26 del RGPD los califica como:
📖 Art. 26 RGPD
Explicación: El art. 26 del RGPD regula los corresponsables del tratamiento: cuando dos o más responsables determinen conjuntamente los objetivos y medios del tratamiento, determinarán de modo transparente sus responsabilidades respectivas mediante un acuerdo.
Conforme al art. 28.3 del RGPD, el tratamiento por un encargado se regirá por:
📖 Art. 28.3 RGPD
Explicación: El art. 28.3 del RGPD exige que el tratamiento por encargo se rija por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y fije el objeto, la duración, la naturaleza, la finalidad y las obligaciones del tratamiento.
El encargado del tratamiento, según el art. 28.2 del RGPD, para recurrir a otro encargado (subencargado) necesita:
📖 Art. 28.2 RGPD
Explicación: El art. 28.2 del RGPD dispone que el encargado del tratamiento no recurrirá a otro encargado sin la autorización previa por escrito, específica o general, del responsable; en caso de autorización general deberá informar de cualquier cambio para que el responsable pueda oponerse.
El art. 29 del RGPD establece que el encargado y cualquier persona que actúe bajo su autoridad y tenga acceso a datos personales:
📖 Art. 29 RGPD
Explicación: El art. 29 del RGPD dispone que el encargado y cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo podrán tratar dichos datos siguiendo instrucciones del responsable, a no ser que estén obligados a ello por el Derecho de la Unión o de los Estados miembros.
El registro de las actividades de tratamiento del art. 30 del RGPD, como regla general, deben llevarlo:
📖 Art. 30 RGPD
Explicación: El art. 30 del RGPD obliga a cada responsable y, en su caso, a su representante, a llevar un registro de las actividades de tratamiento efectuadas bajo su responsabilidad; el encargado llevará su propio registro. La excepción para entidades de menos de 250 empleados tiene importantes salvedades.
El art. 32 del RGPD, sobre seguridad del tratamiento, menciona expresamente entre las medidas posibles:
📖 Art. 32 RGPD
Explicación: El art. 32 del RGPD exige aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, mencionando entre otras la seudonimización y el cifrado, y la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas.
Ante una violación de la seguridad de los datos personales, el art. 33.1 del RGPD obliga al responsable a notificarla a la autoridad de control:
📖 Art. 33.1 RGPD
Explicación: El art. 33.1 del RGPD impone notificar la violación de la seguridad a la autoridad de control competente sin dilación indebida y, de ser posible, a más tardar 72 horas después de que el responsable haya tenido constancia de ella, salvo que sea improbable que constituya un riesgo para los derechos y libertades.
La comunicación de la violación de seguridad al interesado, conforme al art. 34.1 del RGPD, procede cuando:
📖 Art. 34.1 RGPD
Explicación: El art. 34.1 del RGPD establece que, cuando sea probable que la violación de la seguridad entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable la comunicará al interesado sin dilación indebida, en un lenguaje claro y sencillo.
La notificación de la violación a la autoridad de control que no tenga lugar en 72 horas, según el art. 33.1 del RGPD:
📖 Art. 33.1 RGPD
Explicación: El art. 33.1 del RGPD precisa que, si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.
El art. 28.10 del RGPD prevé que si un encargado infringe el Reglamento al determinar los fines y medios del tratamiento:
📖 Art. 28.10 RGPD
Explicación: El art. 28.10 del RGPD dispone que si un encargado infringe el Reglamento al determinar los fines y medios del tratamiento, será considerado responsable del tratamiento con respecto a dicho tratamiento.