- Controlador: decide por qué y cómo se procesan los datos personales — tiene la responsabilidad primordial del RGPD
- Procesador: procesa datos en nombre de un controlador, bajo instrucciones documentadas
- Puede ser controlador y procesador para diferentes conjuntos de datos simultáneamente
- Los controladores deben haber escrito acuerdos de procesamiento de datos con todos los procesadores
La distinción entre el controlador y el procesador es uno de los conceptos más fundamentales del RGPD — y uno de los más frecuentemente mal aplicados. Hacerlo mal significa ya sea obligaciones excesivas de aceptación que usted no tiene, o obligaciones poco reconocidas que usted hace. Ambos crean lagunas de cumplimiento.
Relacionados HubSecure
Alternativas & Comparaciones guía Google Workspace alternative HubSecure módulos comparación biblioteca alternativas espacio de trabajo Guía Biblioteca libro un flujo de trabajo
Mejor ajuste y no mejor ajuste
| Mejor | No es mejor para |
|---|---|
| Equipos regulados que necesitan registros de clientes, archivos seguros, propiedad del flujo de trabajo, RBAC y historial de auditoría juntos. | Equipos que solo necesitan una herramienta de propósito único y no necesitan operaciones de cliente gobernadas ni evidencia de cumplimiento. |
Recursos relacionados con seguridad, privacidad y gobernanza
Continuar con HubSecure centro de seguridad y confianza, acuerdo de procesamiento de datos, subprocesadores, flujos de trabajo de cumplimiento, operador de IA gobernado.
Caso de uso relacionado
Esta guía pertenece al grupo de Guías de consolidación de herramientas y alternativas de espacios de trabajo. Continúe con el centro de productos para alternativas de espacio de trabajo y consolidación de herramientas.
El controlador de datos
Un controlador de datos es la entidad que determina los propósitos y medios de procesamiento de datos personales. En lenguaje simple: usted decide por qué recopila datos y cómo se procesa. La autoridad de decisión sobre los datos es suya.
La mayoría de las empresas que poseen datos del cliente son controladores para esos datos. Un bufete de abogados que tiene archivos KYC cliente es un controlador. Una empresa de contabilidad que procesa la información financiera del cliente es un controlador. La pregunta clave es: ¿quién decidió recopilar estos datos y con qué propósito?
El procesador de datos
Un procesador de datos es una entidad que procesa datos personales en nombre de un controlador, bajo las instrucciones del controlador. El procesador no decide por qué se recopilan los datos o cómo se utiliza; simplemente realiza tareas de procesamiento definidas como se indica.
Los proveedores de servicios en la nube, las oficinas de nóminas, las empresas de servicios gestionadas por TI y las plataformas SaaS (incluyendo HubSecure , cuando se utilizan para procesar datos de clientes) son procesadores. Procesan datos que los controladores han decidido mantener, bajo contratos que definen lo que pueden y no pueden hacer con él.
Las diferencias clave
Funciones de control
- Determinar la base legal para el procesamiento
- Publicar un aviso de privacidad a los sujetos de datos
- Mantener un registro de actividades de procesamiento
- Respuesta a las solicitudes de derechos de los interesados
- Report data breaches to supervisory authority within 72 hours
- Conduct DPIAs for high-risk processing
- Designar un DPO si es necesario
- Introduzca DPAs con todos los procesadores
Responsabilidades del procesador
- Datos del proceso sólo en las instrucciones del controlador documentado
- Mantener registros de las categorías de procesamiento
- Aplicar medidas de seguridad apropiadas
- Notificar el controlador de las brechas de datos sin demora indebida
- No comprometer subprocesadores sin autorización del controlador
- Eliminar o devolver datos al final del servicio
- Ayudar al controlador con solicitudes de derechos sujetos
- Ponga la información de cumplimiento disponible para el controlador
Controladores conjuntos
Dos o más organizaciones pueden ser controladores conjuntos cuando determinan conjuntamente los propósitos y medios de procesamiento. Esto es común en asociaciones empresariales, empresas de grupos que comparten datos de RRHH o plataformas y sus socios comerciales coinciden en cómo se utilizan los datos de usuario. Los controladores conjuntos deben tener un arreglo transparente que establezca sus respectivas responsabilidades, y los sujetos de datos deben ser informados de la esencia de ese arreglo.
Acuerdos de procesamiento de datos (DPA)
Cuando un controlador participa en un procesador, un acuerdo escrito de procesamiento de datos es obligatorio en virtud del artículo 28. El DPA debe especificar:
- Asunto, duración, naturaleza y propósito del procesamiento
- Tipo de datos personales y categorías de sujetos de datos
- Obligaciones y derechos del controlador
- Que el procesador sólo actúa según instrucciones documentadas
- Obligaciones de confidencialidad del personal del procesador
- Medidas de seguridad necesarias
- Reglas de procesamiento
- Obligaciones de asistencia para auditorías y solicitudes de derechos
- Eliminación/retorno de datos al final del servicio
¿Es una plataforma SaaS siempre un procesador?
Normalmente, sí. Si utiliza una plataforma SaaS para almacenar o procesar datos del cliente, el proveedor de la plataforma es normalmente un procesador que actúa en sus instrucciones. La plataforma decide la infraestructura técnica; usted decidió mantener los datos del cliente en primer lugar.
¿Puede un procesador convertirse en un controlador?
Sí — si un procesador comienza a tomar decisiones sobre los datos de forma independiente (por ejemplo, utilizando los datos del cliente para su propia analítica o marketing sin instrucción del controlador), se convierten en un controlador para ese procesamiento adicional. Esto es una violación del DPA y crea responsabilidad del GDPR independiente.
HubSecure procesa los datos de su cliente como su procesador
Nuestro DPA cubre todos los datos procesados a través de la plataforma HubSecure . Infraestructura anfitriona de Singapur, instrucciones documentadas y rutas de auditoría completas, listas para que su equipo de cumplimiento revise.
Vea nuestro DPARevisión de los equipos regulados
Preparado por el equipo editorial HubSecure para operadores, líderes de cumplimiento y revisores de TI que evalúan software seguro de operaciones cliente.
Autores · Revisores · Política editorial