Obligaciones del Responsable del Tratamiento
Marco integral de obligaciones que la Ley 21.719 impone a los responsables del tratamiento, estableciendo deberes específicos de información, documentación, seguridad y responsabilidad proactiva en la protección de datos personales.
Responsabilidad Proactiva (Accountability)
El responsable debe demostrar el cumplimiento de las obligaciones mediante controles técnicos y organizacionales documentados.
Deber de Información
Obligación de proporcionar información clara, precisa y completa a los titulares sobre el tratamiento de sus datos personales, en el momento de la recolección o antes del inicio del tratamiento.
Información Obligatoria
- Identidad y datos de contacto del responsable
- Datos de contacto del delegado de protección de datos
- Fines del tratamiento y base jurídica
- Categorías de datos personales tratados
- Destinatarios o categorías de destinatarios
- Transferencias internacionales previstas
- Plazo de conservación o criterios para determinarlo
- Derechos del titular y procedimientos para ejercerlos
Modalidades de Información
- Avisos de privacidad por capas
- Información just-in-time contextual
- Políticas de privacidad accesibles
- Notificaciones de cambios sustanciales
Registro de Actividades de Tratamiento
Mantenimiento de un registro detallado y actualizado de todas las actividades de tratamiento bajo su responsabilidad, disponible para la Agencia de Protección de Datos cuando sea requerido.
Contenido del Registro (RAT)
- Nombre y datos de contacto del responsable
- Fines del tratamiento para cada actividad
- Descripción de categorías de interesados
- Categorías de datos personales tratados
- Categorías de destinatarios de datos
- Transferencias internacionales y salvaguardas
- Plazos de supresión previstos
- Medidas técnicas y organizacionales de seguridad
Gestión del RAT
- Actualización periódica obligatoria
- Disponibilidad inmediata para inspecciones
- Integración con procesos de gobernanza
Medidas de Seguridad
Implementación de medidas técnicas y organizacionales apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, considerando el estado de la técnica y los costos de aplicación.
Medidas Técnicas
- Pseudonimización y cifrado de datos
- Capacidad de garantizar confidencialidad
- Capacidad de garantizar integridad
- Capacidad de garantizar disponibilidad
- Procedimientos de prueba y evaluación
Medidas Organizacionales
- Políticas de seguridad documentadas
- Capacitación del personal
- Gestión de accesos y privilegios
- Procedimientos de respuesta a incidentes
Notificación de Brechas de Seguridad
Obligación de notificar a la Agencia de Protección de Datos las brechas de seguridad que puedan entrañar un riesgo para los derechos y libertades de las personas naturales, en un plazo no superior a 72 horas.
Criterios de Notificación
- Riesgo alto para derechos y libertades
- Afectación masiva de titulares
- Datos sensibles involucrados
- Posibilidad de discriminación o fraude
Contenido de la Notificación
- Descripción de la naturaleza de la brecha
- Número aproximado de interesados afectados
- Consecuencias probables de la brecha
- Medidas adoptadas o propuestas
Gestión de Encargados del Tratamiento
Cuando el tratamiento se realice por cuenta del responsable, debe asegurar que los encargados ofrezcan garantías suficientes para implementar medidas técnicas y organizacionales apropiadas.
Selección de Encargados
- Evaluación de garantías técnicas
- Evaluación de garantías organizacionales
- Verificación de experiencia sectorial
- Análisis de medidas de seguridad
Contrato de Encargo (DPA)
- Objeto y duración del tratamiento
- Finalidad del tratamiento
- Categorías de datos personales
- Obligaciones y derechos del responsable
- Medidas de seguridad específicas
Evaluaciones de Impacto
Realización de Evaluaciones de Impacto en la Protección de Datos (EIPD) cuando el tratamiento, en particular por el uso de nuevas tecnologías, pueda entrañar un alto riesgo para los derechos y libertades.
Supuestos Obligatorios
- Evaluación sistemática y exhaustiva
- Tratamiento a gran escala de categorías especiales
- Observación sistemática de zonas de acceso público
- Nuevas tecnologías con alto riesgo
Contenido de la EIPD
- Descripción sistemática del tratamiento
- Evaluación de necesidad y proporcionalidad
- Evaluación de riesgos para derechos y libertades
- Medidas previstas para afrontar riesgos
Marco de Cumplimiento Organizacional
La implementación efectiva de las obligaciones del responsable requiere un enfoque sistemático que integre aspectos legales, técnicos y organizacionales en un marco coherente de gobernanza de datos.
Auditoría de Cumplimiento
Evaluación integral del estado actual de tratamientos de datos, identificación de brechas normativas y mapeo de flujos de información en la organización.
Diseño de Políticas
Desarrollo de marcos normativos internos que establezcan procedimientos claros para el cumplimiento de cada obligación específica del responsable.
Implementación Técnica
Despliegue de medidas técnicas y organizacionales, incluyendo sistemas de gestión de consentimientos, RAT y procedimientos de respuesta a incidentes.
Monitoreo Continuo
Establecimiento de sistemas de supervisión y mejora continua que aseguren el mantenimiento del cumplimiento ante cambios normativos y operacionales.
Indicadores Clave de Cumplimiento (KPI)
Transforme sus Desafíos Legales en Ventajas Competitivas
Descubra cómo nuestro enfoque innovador puede impulsar su negocio
