Cuando hay dos o más responsables del tratamiento que determinan conjuntamente la finalidad y los medios de tratamiento, se consideran corresponsables del tratamiento. Deciden conjuntamente tratar datos personales para un fin conjunto. La corresponsabilidad puede adoptar muchas formas y la participación de los diferentes controladores puede ser desigual. Por lo tanto, los corresponsables del tratamiento deben determinar sus respectivas responsabilidades para el cumplimiento del RGPD.

Es importante señalar que la corresponsabilidad del tratamiento conduce a la responsabilidad conjunta de una actividad de tratamiento.

• Ejemplo de corresponsabilidad: Las empresas A y B han lanzado un producto de marca compartida y desean organizar un evento para promocionar este producto. Con ese fin, deciden compartir datos de sus respectivos clientes y bases de datos de clientes potenciales y deciden la lista de invitados al evento sobre esta base. También acuerdan las modalidades para enviar las invitaciones al evento, cómo recopilar comentarios durante el evento y acciones de marketing de seguimiento. Las empresas A y B pueden ser consideradas corresponsables del tratamiento de datos personales relacionados con la organización del evento promocional, ya que deciden conjuntamente sobre el propósito definido conjuntamente y los medios esenciales del tratamiento de datos en este contexto.

Más información:

• Responsable o encargado del tratamiento

El RGPD otorga a las personas el control sobre el tratamiento de sus datos personales. Para ello, la transparencia es clave. Esto significa que debe informar a las personas cuyos datos trata sobre sus operaciones de tratamiento y los fines. En otras palabras, hay que explicar quién trata sus datos, pero también cómo y por qué. Solo si el uso de datos personales es «transparente» para los involucrados, pueden evaluar los posibles riesgos y tomar decisiones sobre sus datos personales.

En virtud del RGPD, estás obligado a compartir la siguiente información con las personas físicas:

• la identidad y los datos de contacto del responsable del tratamiento;
• los fines del tratamiento;
• la base jurídica del tratamiento (si el interés legítimo, la información específica sobre qué intereses legítimos se relacionan con el tratamiento específico, y sobre qué entidad persigue cada interés legítimo.)
• los datos de contacto del responsable del tratamiento;
• los datos de contacto del DPD (si existe un DPD);
• los destinatarios o categorías de destinatarios de los datos;
• Información sobre si los datos se transferirán fuera del Espacio Económico Europeo (EEE) (si procede: la existencia o no de una decisión de adecuación o referencia a las garantías adecuadas y la forma en que esta información puede ponerse a disposición de los interesados;
• las categorías de datos personales tratados, cuando los datos no se obtienen de la persona.

Además, el RGPD requiere que tu organización proporcione la siguiente información para garantizar un procesamiento justo y transparente:

• el período de retención o, cuando esto no sea posible, los criterios utilizados para determinar dicho período;
• el derecho a solicitar el acceso, la supresión, la rectificación, la limitación, la objeción y la portabilidad de los datos personales;
• el derecho a presentar una reclamación ante una autoridad de protección de datos;
• si la base jurídica del tratamiento es el consentimiento: el derecho a retirar el consentimiento en cualquier momento;
• en el caso de la toma de decisiones automatizada, información pertinente sobre la lógica subyacente y las consecuencias previstas del tratamiento para el interesado;
• la fuente de los datos personales (si no los recibió directamente de la persona en cuestión;
• si la persona está obligada a proporcionar los datos personales (por ley o por contrato o para celebrar un contrato) y cuáles son las consecuencias de negarse a proporcionar los datos.

Más información:

• Respetar los derechos de las personas

Por tratamiento de datos personales se entiende cualquier de actividad (operación de tratamiento) realizada sobre los datos personales de las personas físicas. Esto incluye la recogida, grabación, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, investigación, uso, revelación por transmisión, difusión o cualquier otra forma de puesta a disposición, alineación o combinación, restricción, supresión o destrucción de datos personales.

De hecho, el consentimiento podría ser una base jurídica válida para almacenar los currículums de los solicitantes de empleo. Otro posible fundamento jurídico podría ser el interés legítimo. En ese caso, tendrías que sopesar la situación para demostrar que los intereses legítimos de tu organización superan los derechos de los solicitantes.

En cualquier caso, deberás informar a los candidatos que tienes previsto almacenar sus datos y para qué fines.

Más información:

• Procesar datos personales legalmente

El RGPD prevé derechos específicos para las personas que deben respetarse. Para ello:

• informa a las personas cuyos datos tratas sobre sus operaciones de tratamiento y los fines de tratamiento cuando recoge sus datos, por ejemplo, a través de una declaración de privacidad en su sitio web;
• responde a las solicitudes de las personas para ejercer sus derechos, como las solicitudes de acceso, rectificación, oposición, supresión o portabilidad.

Las organizaciones que son transparentes sobre su uso de datos personales y que respetan los derechos de las personas tienen menos probabilidades de ser objeto de quejas.

Más información:

• Respetar los derechos de las personas

Las medidas de seguridad necesarias pueden diferir en función de la naturaleza de los datos personales que trata y los riesgos asociados para las personas. En cualquier caso, hay algunas medidas mínimas que debes poner en marcha:

• acceso seguro a los locales;
• utilizar programas antivirus actualizados periódicamente;
• elegir cuidadosamente las contraseñas;
• hacer que los usuarios se autentiquen antes de utilizar los equipos informáticos;
• tener una política de copia de seguridad y recuperación de datos en su lugar en caso de un incidente.

Además, algunas medidas básicas como bloquear la pantalla mientras estás fuera y cerrar la oficina al final del día nunca están fuera de lugar…

Más información:

• Datos personales seguros

1. Asegúrate de que los datos se recopilaron legítimamente y de que las personas afectadas han sido informadas sobre el tratamiento de sus datos personales.
2. En caso de que un tercero esté tratando datos personales en tu nombre, asegúrate de que tiene un contrato responsable-encargado, que detalle las operaciones de tratamiento y los medios para tratar los datos personales.

Y por supuesto, cumplir con todas las obligaciones de los responsables del tratamiento.

Más información:

• Responsable o encargado del tratamiento

La tarea del DPD incluye, entre otras:

• informar y asesorar a la organización y a sus empleados sobre el cumplimiento de la protección de datos;
• supervisar el cumplimiento de la protección de datos;
• prestar asesoramiento sobre las solicitudes relativas a la evaluación de impacto en materia de protección de datos (EIPD);
• actuar como punto de contacto de la autoridad de protección de datos y cooperar con dicha autoridad de protección de datos;
• actuar como punto de contacto para las personas.

Además, generalmente se recomienda la presencia del DPD cuando se toman decisiones con implicaciones en la protección de datos. El DPD también debe ser consultado rápidamente una vez que se haya producido una violación de datos u otro incidente.

Más información:

• Delegado de Protección de Datos

El RGPD impone obligaciones a todas las organizaciones que tratan datos personales, independientemente de si son responsables o encargados del tratamiento de datos.

En particular, debes:

• Preguntarte si el propósito para el que se pueden recopilar datos personales está justificado, y solo recopilar los datos personales que sean necesarios para los fines específicos previstos;
• Mantener los datos personales de los individuos precisos y actualizados, y eliminarlos cuando ya no sean necesarios;
• Respetar los derechos de las personas, informándoles sobre cómo y por qué se tratan sus datos, y permitiéndoles ejercer sus derechos;
• Comprobar  si tienes una base legal adecuada para el tratamiento de datos personales. En caso de que vayas a utilizar el consentimiento, debes solicitarlo antes de tratar sus datos personales;
• Asegurarse de que los datos personalesse traten de manera segura;
• Mantener un registro de las operaciones de procesamiento.

Los encargados del tratamiento tendrán que cumplir con las responsabilidades establecidas en el contrato responsable-encargado del tratamiento, y no deben tratar los datos de otro modo que no sea conforme a las instrucciones del responsable del tratamiento.

Más información:

• Cumplir la normativa
• Responsable o encargado del tratamiento
• Aspectos básicos de la protección de datos

Si su organización está recogiendo los datos personales directamente de los individuos, debes proporcionar la información necesaria en el momento de la recogida.

En caso de recogida indirecta de datos personales, tu organización debe proporcionar la información a más tardar en el plazo de un mes a partir de la obtención inicial de los datos personales. Este período máximo de un mes puede reducirse:

• si los datos personales se utilizan para fines de comunicación con el interesado. En tal caso, debes informar al interesado a más tardar en el momento de la primera comunicación al interesado;
• si los datos se transmiten a otro destinatario, la organización informará de ello a los interesados a más tardar cuando se transfieran los datos personales.

Más información:

• Respetar los derechos de las personas