Acuerdos de procesamiento de datos de OCLC
Lo que necesita saber
El Reglamento General de Protección de Datos de la UE (RGPD) entró en vigor el 25 de mayo del 2018, y de él se deriva la obligación legal de que su institución formalice acuerdos de procesamiento de sus datos personales con OCLC. OCLC respalda los principios sólidos de seguridad y privacidad de los datos estipulados en el RGPD; además, nos comprometemos a garantizar que nuestras ofertas de servicio relevantes permitan que nuestros clientes cumplan con sus obligaciones derivadas del RGPD como controladores de datos.
Según lo exige el RGPD, OCLC y los clientes deben implementar un acuerdo de procesamiento de datos (APD) relacionado con: 1) los servicios alojados en centros de datos y que procesen datos personales, y 2) los servicios que permitan el procesamiento remoto de información personal con fines de mantenimiento y soporte.
El APD de OCLC contiene las disposiciones relacionadas con el procesamiento de los datos que exige el RGPD; proporciona garantías con respecto a la protección de los datos personales de sus usuarios y miembros del personal, entre otros; y deja claros los papeles y responsabilidades respectivas que ambos tenemos con respecto a los datos personales procesados.
¿Por qué usar la plantilla de OCLC?
Para cumplir con los requisitos del RGPD, OCLC ha elaborado un acuerdo previamente firmado, que fue diseñado pensando específicamente en el RGPD y el tipo de actividad de procesamiento que se realiza al usar los productos y servicios de OCLC. Si los datos personales de su institución se rigen por el RGPD, es necesario tener un APD.
¿OCLC transfiere datos fuera de la Unión Europea?
- Sí. Cuando los datos personales se trasfieren de la UE a OCLC en los Estados Unidos (EE.UU.), se transfieren de conformidad con el documento de cláusulas contractuales tipo incluido en el APD. El documento de cláusulas contractuales tipo es un documento redactado y aprobado por la Comisión Europea que contiene las obligaciones detalladas relacionadas con la protección de datos personales transferidos fuera de la UE.
- De conformidad con el RGPD, la transferencia de datos personales fuera de la UE es legal, siempre y cuando los procesadores cumplan con las regulaciones de protección de datos correspondientes. Cuando se transfieren datos personales de la UE a OCLC en los EE.UU., se hace de conformidad con las cláusulas contractuales tipo que cumplen con estas regulaciones.
- OCLC no está afiliado al Escudo de Privacidad entre EE.UU. y la UE; no debe hacerlo porque es una entidad sin ánimo de lucro. En cambio, OCLC se basa en las cláusulas contractuales tipo para transferir datos personales desde la UE a los EE.UU.
¿A qué tipo de productos se aplica el APD?
El APD se aplica a cualquier producto y servicio alojado o no que OCLC ofrezca en la UE.
¿Quién es el cliente en el APD?
La institución es el cliente y el controlador de los datos personales procesados. OCLC es el procesador. Es posible que el cliente envíe datos personales hacia, o mediante los productos de OCLC (que en el APD se conocen como "servicios cubiertos") y solicite que los usuarios de los servicios cubiertos (conocidos como "interesados") envíen datos personales a los servicios cubiertos, cuyo alcance es determinado y controlado por el cliente.
¿Por qué debemos implementar un APD si la institución aloja el servicio?
Es posible que el personal de OCLC, debido a su experiencia y disponibilidad, proporcione soporte o mantenimiento remoto, según lo solicite el cliente. El alcance de estos servicios remotos depende del sistema y del soporte que el cliente solicite. Estos servicios están incluidos en las cláusulas contractuales tipo de OCLC.
¿Qué tipo de datos personales se procesan?
- Es posible que los datos personales que OCLC procesa estén incluidos dentro de las siguientes categorías de interesados:
- Los usuarios autorizados de los servicios bibliotecarios del cliente
- Los empleados del cliente autorizados para usar los servicios cubiertos
- Los proveedores de recursos bibliotecarios del cliente
- En el caso de clientes que usen Course Reserves, los profesores cuyos cursos están incluidos en estos Course Reserves
- El tipo de datos personales que el cliente envía puede incluir:
- Nombres
- Puestos de trabajo (de los empleados)
- Información de contacto (incluyendo dirección, números de teléfono, números de fax y direcciones de correo electrónico)
- Identificadores únicos, independientemente de que el cliente o el procesador los asigne (por ejemplo, números de identificación de los usuarios, códigos de barras y números de identificación de los empleados)
- Nombres de usuarios y contraseñas
- Atributos del usuario (por ejemplo, fecha de nacimiento, género, departamento y tipo de usuario)
- Fotografías (a través de URL)
¿Cuáles son las políticas de respuesta a incidentes de OCLC?
- De conformidad con el RGPD, los procesadores tienen la obligación de notificarle a un controlador "sin retrasos injustificados" una vez que tengan conocimiento de una violación de la seguridad de los datos personales. Por ende, en el APD de OCLC se establece que OCLC debe cumplir dicha obligación.
- Con frecuencia, esta disposición del RGPD se presta a equívoco. Cualquier retraso que requiera el procesador para informar sobre una violación de la seguridad al controlador en realidad supone un riesgo para el controlador, porque, según el RGPD, el controlador solo dispone de 72 horas desde que tiene conocimiento de una violación de seguridad para informarla a las autoridades competentes.
¿Cuáles son las políticas de auditoría de OCLC?
- En virtud del RGPD, los controladores tienen derecho a auditar a los procesadores para garantizar el cumplimiento. Por lo tanto, el APD de OCLC estipula que el cliente puede contratar, por su cuenta, a un auditor externo para inspeccionar las políticas y registros de OCLC con el fin de garantizar el cumplimiento. OCLC solicita una notificación escrita de una auditoría con un mes de antelación, y el auditor elegido debe firmar un acuerdo de confidencialidad. OCLC también proporcionará las certificaciones externas correspondientes relacionadas con solicitudes, como las certificaciones ISO, con el fin de demostrar el cumplimiento.