Respuesta de OCLC al Reglamento General de Protección de Datos

Última revisión: 21 de junio de 2019

En mayo de 2018, el Reglamento General de Protección de Datos (RGPD) entró en vigor en la Unión Europea (UE). En OCLC estamos comprometidos a respaldar a nuestros socios y clientes, revisando proactivamente las prácticas y los productos desde la perspectiva del RGPD, y adoptando medidas continuas, según corresponda. Asimismo, hemos iniciado proyectos formales sobre el RGPD y otras actividades que se enfocan especialmente en nuestros productos, con el fin de ayudar a que las bibliotecas cumplan las obligaciones del RGPD.

Los controladores de datos (en este caso, los clientes de OCLC en general) y los procesadores de datos (OCLC) son responsables de realizar diferentes actividades para cumplir con el RGPD. El objetivo de la siguiente información es ayudarle a comprender la respuesta de OCLC al RGPD y el papel que el cliente desempeña en el proceso de cumplimiento.  

Nota: la siguiente información no constituye asesoramiento jurídico. Si tiene alguna pregunta específica sobre el impacto que tiene el RGPD en la relación entre su institución y OCLC, comuníquese con el funcionario de protección de datos de OCLC a la dirección de correo electrónico dpo@oclc.org.

Artículos

Respuesta de OCLC a los artículos

Artículo 1: asunto y objetivos

El Artículo 1 resalta los objetivos del RGPD, que incluyen la protección de datos personales y la libre circulación de los datos personales.

OCLC respeta la libertad y los derechos fundamentales de las personas, e implementa medidas de protección para el procesamiento de datos personales, incluidos los datos personales de los usuarios y los miembros del personal bibliotecario. OCLC analiza las trasferencias de datos dentro y fuera de la UE.

Artículo 2: ámbito de aplicación material

El procesamiento de datos personales, total o parcialmente, por medios automatizados puede hacer parte del ámbito de aplicación del RGPD según el Artículo 2.

OCLC procesa datos personales que pueden hacer parte del ámbito de procesamiento descrito en el Artículo 2. Las bibliotecas utilizan los productos de OCLC para administrar sus operaciones. OCLC recibe los datos personales de los miembros del personal y los usuarios mediante las bibliotecas.

Artículo 3: ámbito territorial

El Artículo 3 describe las situaciones en las que el RGPD es aplicable. Se aplica a las empresas que tienen sede en la UE y fuera de la UE, cuando sus actividades estén incluidas en el contexto de negocios realizados dentro de la UE. Además, el RGPD se puede aplicar a las empresas que no tienen sede en la UE, pero que les ofrecen bienes o servicios a personas de la UE, o monitorean el comportamiento de dichas personas.

OCLC está sujeta al RGPD. OCLC tiene sedes en la UE, entre ellas, nuestra oficina central de la UE en los Países Bajos. OCLC tiene actividades que no se relacionan con la UE, pero que respaldan negocios en la UE y, por lo tanto, están sujetas al RGPD.

Artículo 4: definiciones

El Artículo 4 define 26 términos, entre ellos, "datos personales", "procesamiento", "controlador" y "procesador".

Por lo general, en la relación entre OCLC y una biblioteca, esta última es el controlador, según el RGPD, con respecto al tratamiento de los datos personales de sus usuarios y personal. Y OCLC es el procesador de la biblioteca al proporcionarle productos.

Artículo 5: principios relativos al procesamiento de datos personales

El Artículo 5 establece los principios del procesamiento de datos, entre ellos, la legalidad, legitimidad, transparencia, limitación de la finalidad, minimización de datos, exactitud, limitación de almacenamiento, integridad, confidencialidad y rendición de cuentas.

Por lo general, la biblioteca está en libertad de tomar estas decisiones en el contexto de su relación con sus usuarios y personal. Por ejemplo, la biblioteca debe determinar qué datos recopilar de sus usuarios, con el fin de ofrecerles servicios bibliotecarios; la base legal del procesamiento de los datos; y cómo presentarles a los usuarios el aviso de privacidad, a fin de ser transparente con respecto al uso de los datos por parte de la biblioteca.

Sin embargo, en muchos casos, los productos de OCLC pueden ayudar a que una biblioteca cumpla sus obligaciones relacionadas con estos principios. Por ejemplo, el producto de OCLC correspondiente puede permitir que la biblioteca muestre un aviso de privacidad que esta haya elaborado.

Artículo 6: legalidad del procesamiento

El Artículo 6 menciona diversas bases legales del procesamiento de datos personales, como el consentimiento del interesado, o la necesidad de satisfacer los intereses legítimos del controlador.

La biblioteca, al ser el controlador, determina las bases legales del procesamiento de datos personales de sus usuarios y personal. El procesamiento por parte de OCLC, como procesador de la biblioteca, se debe realizar de acuerdo con las indicaciones de la biblioteca, tal y como se describe en el contrato pertinente entre la biblioteca y OCLC.

Artículos 7 y 8: condiciones para el consentimiento y condiciones aplicables al consentimiento de un niño en relación con los servicios de la sociedad de la información

El Artículo 7 describe lo que se requiere para el consentimiento cuando es la base legal del procesamiento.

El Artículo 8 profundiza los requisitos de consentimiento del Artículo 7 en el caso de niños.

La biblioteca, al ser el controlador, es responsable de cumplir con los Artículos 7 y 8, según corresponda, cuando el consentimiento es la base legal del procesamiento de datos de los usuarios o de los miembros del personal.

Artículo 9: procesamiento de categorías especiales de datos personales

El Artículo 9 describe los datos personales que es ilegal procesar, salvo que sea aplicable una excepción.

Si bien las bibliotecas deciden si procesan o no las categorías especiales de datos personales, OCLC desaconseja que nuestros clientes recopilen o almacenen datos de este tipo en los productos de OCLC. No es necesario recopilar ni almacenar datos de este tipo para poder usar los productos de OCLC.

Artículo 10: procesamiento de datos personales relativos a condenas e infracciones penales

El Artículo 10 aborda el procesamiento de datos personales relativo a condenas e infracciones penales.

Al igual que las categorías especiales de datos personales descritas en el Artículo 9, estos datos personales no son necesarios para poder usar los productos de OCLC. OCLC desaconseja recopilar y almacenar datos de este tipo en los productos de OCLC.

Artículos 11 y 12: procesamiento que no requiere identificación, y transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado

El Artículo 11 contiene leyes relacionadas con la identificación de interesados por parte del controlador, entre ellos, los interesados que ejercen los derechos otorgados en virtud del RGPD.

El Artículo 12 contiene leyes sobre el controlador que les proporciona información a los interesados, lo cual incluye los plazos para responder las solicitudes de estos últimos.

La biblioteca, al ser el controlador, es responsable de cumplir con los Artículos 11 y 12 en el contexto de su relación con los usuarios y los miembros del personal.

OCLC recibe solicitudes de los interesados, solicita información cuando es necesario verificar la identidad, y evalúa cuál es su papel en relación con el interesado.

Si OCLC es el controlador, cuenta con procesos para manejar las solicitudes de conformidad con los requisitos del Artículo 12.

Si OCLC determina que es un procesador, le pide al interesado que dirija su solicitud al controlador.

Artículos 13 y 14: información que se debe facilitar al recopilar datos personales del interesado e información que se debe facilitar cuando no se obtengan datos personales del interesado

Los Artículos 13 y 14 establecen los requisitos específicos que los interesados deben cumplir.

Cuando OCLC actúa en calidad de controlador con respecto a los interesados, les proporciona el aviso pertinente. Por ejemplo, OCLC publica un aviso de privacidad en OCLC.org.

En cuanto a los usuarios y miembros del personal bibliotecario, la biblioteca es el controlador, y debe proporcionar avisos de privacidad que cumplan los requisitos de los Artículos 13 y 14, según corresponda. Los avisos de la biblioteca describen otros procesamientos que esta y otros procesadores de la misma llevan a cabo, además del procesamiento realizado por OCLC en calidad de procesador de la biblioteca.

Artículos 15 al 23: derecho de acceso del interesado; derecho de rectificación; derecho de supresión ("Derecho al olvido"); derecho a la limitación del procesamiento; obligación de notificación relativa a la rectificación o supresión de datos personales o a limitación del procesamiento; derecho a la portabilidad de los datos; derecho de oposición; decisiones individuales automatizadas, incluida la elaboración de perfiles; y limitaciones

Los Artículos 15 al 23 son leyes relacionadas con varios derechos de los interesados.

Como controlador, la biblioteca es responsable de cumplir con los Artículos 15 al 23, según corresponda, durante su relación con los usuarios y los miembros del personal.

OCLC recibe solicitudes de los interesados, solicita información cuando es necesario verificar la identidad, y evalúa cuál es su papel en relación con el interesado.

Si OCLC es el controlador, cuenta con procesos para manejar las solicitudes.

Si OCLC determina que es un procesador, le pide al interesado que dirija su solicitud al controlador.

Artículo 24: responsabilidad del controlador

El Artículo 24 menciona las responsabilidades del controlador de datos, entre ellas, la implementación de medidas técnicas y organizacionales adecuadas, así como las políticas de protección de datos.

La biblioteca, como controlador de los datos de sus usuarios y personal, es responsable de cumplir con el Artículo 24.

Artículo 25: protección de datos desde el diseño y por defecto

El Artículo 25 les exige a los controladores que implementen la protección de datos desde el diseño y por defecto.

La biblioteca, al ser el controlador de los datos de sus usuarios y miembros del personal, debe ser responsable de cumplir con el Artículo 25. OCLC ha creado proyectos formales sobre el RGPD y otras actividades enfocadas en nuestros productos, con el fin de ayudar a que las bibliotecas cumplan las obligaciones derivadas del mismo. Por ejemplo, OCLC realizó un proyecto enfocado en formas de permitir que las bibliotecas muestren avisos de privacidad para determinados productos. En OCLC estamos comprometidos a seguir evaluando nuestros productos y determinar si se deben hacer o no mejoras relacionadas con los criterios de protección de datos desde el diseño y por defecto, y cómo hacerlas.

Artículo 26: controladores colectivos

El Artículo 26 aborda los acuerdos entre los controladores colectivos.

Por lo general, OCLC y las bibliotecas no deben ser controladores colectivos, ya que las bibliotecas son los controladores y OCLC es un procesador.

Artículo 27: representantes de los controladores o procesadores no establecidos en la Unión

El Artículo 27 está relacionado con el ámbito territorial del RGPD cuando el controlador o procesador no está establecido en la UE. Si el controlador o procesador no están establecidos en la UE, deben designar un representante con sede física en la UE.

OCLC tiene varias sedes en la UE; además, nuestra oficina central europea está ubicada en los Países Bajos.

Artículo 28: procesador

El Artículo 28 estipula las obligaciones de los controladores y procesadores. Se enfoca principalmente en la celebración de contratos que rijan el procesamiento realizado por el procesador; así como la celebración de contratos entre dicho procesador y otros procesadores.

OCLC, como procesador de las bibliotecas, ha elaborado acuerdos de procesamiento de datos para celebrarlos con las bibliotecas, con el fin de cumplir con el Artículo 28. Estos contratos están disponibles en varios idiomas. Además, OCLC ha elaborado acuerdos de subprocesamiento que celebra con subprocesadores.

OCLC se ha esforzado, y sigue esforzándose por identificar bibliotecas que cree que están sujetas al RGPD, y por hacer que dichas bibliotecas celebren acuerdos de procesamiento de datos. Sin embargo, tenga en cuenta que el requisito de celebrar este contrato afecta directamente a las bibliotecas sujetas al RGPD. Si una biblioteca está sujeta al RGPD y no ha celebrado un contrato con OCLC, el representante de la biblioteca debe comunicarse con nosotros de inmediato para recibir una copia del acuerdo de procesamiento de datos para que lo firme.

Artículo 29: procesamiento bajo la autoridad del controlador o procesador

El Artículo 29 aborda el procesamiento por parte de los procesadores. Los procesadores no pueden procesar datos personales, salvo que el controlador lo indique.

Los contratos mencionados en las disposiciones del Artículo 28, descritos anteriormente, señalan las instrucciones que la biblioteca (en calidad de controlador) le proporciona a OCLC con respecto al procesamiento de datos personales.

Artículo 30: registros de las actividades de procesamiento

El Artículo 30 exige llevar un registro del procesamiento de datos personales. Tanto controladores como procesadores deben llevar registros y proporcionarlos a las autoridades de control cuando los soliciten.

OCLC ha creado y lleva registro de las actividades de procesamiento.

Artículo 31: cooperación con las autoridades de control

El Artículo 31 les exige a los controladores y procesadores, bajo petición, que cooperen con las autoridades de control durante el cumplimiento de sus funciones.

OCLC cooperará con las autoridades de control cuando se le solicite.

Artículo 32: seguridad del procesamiento

El Artículo 32 obliga a los controladores y procesadores a implementar medidas técnicas y organizacionales que garanticen un nivel de seguridad adecuado.

OCLC ha implementado medidas técnicas y organizacionales. Estas están descritas en los contratos derivados de las disposiciones del Artículo 28. Puede encontrar información adicional sobre la seguridad de OCLC en nuestro sitio web.

Artículos 33 y 34: notificación de una violación de la seguridad de los datos personales a las autoridades de control y comunicación de una violación de la seguridad de los datos personales al interesado

Los Artículos 33 y 34 contienen las obligaciones de los controladores y procesadores relativas a notificar una violación de la seguridad de los datos personales.

OCLC, como procesador, debe notificarle a una biblioteca que ha ocurrido una violación de la seguridad de los datos personales de conformidad con el Artículo 33. Esto debe ocurrir sin retrasos injustificados, una vez que se tenga conocimiento de dicha violación de la seguridad de los datos personales. OCLC revisa los incidentes rápidamente y mantiene una base de datos con la información de contacto de las bibliotecas para garantizar que las notificaciones requeridas se puedan realizar sin retrasos injustificados. Con respecto a la falta de disponibilidad, OCLC también invita a las bibliotecas a revisar nuestras Alertas del sistema en nuestro sitio web.

Las bibliotecas, al ser los controladores, deben determinar si es necesario que notifiquen o no a las autoridades de control y los interesados.

Artículos 35 y 36: evaluación de impacto relativa a la protección de datos y consulta previa

Los Artículos 35 y 36 obligan, en determinados casos, a los controladores a realizar evaluaciones de impacto relativas a la protección de datos y a consultar a las autoridades de control.

Estas son las obligaciones de los controladores, y por lo tanto, las bibliotecas están sujetas a ellas. Por lo general, OCLC es un procesador de las bibliotecas.

En los casos en los que OCLC debe realizar evaluaciones de impacto relativas a la protección de datos según el RGPD, cuenta con procesos implementados para ello.

Artículo 37: designación del funcionario de protección de datos

El Artículo 37 describe los casos en los que los controladores y procesadores deben designar funcionarios de protección de datos, así como darle la capacidad a un grupo empresarial para que designe un solo funcionario de protección de datos. Se debe designar el funcionario de protección de datos con base en las cualidades profesionales, entre ellas, conocimientos especializados sobre prácticas y leyes de protección de datos.

OCLC ha designado un funcionario de protección de datos para sus diversos afiliados a modo de grupo empresarial. El funcionario actual cuenta con tres certificaciones de la Asociación Internacional de Profesionales de Privacidad, entre ellas, dos certificaciones que demuestran que está listo para el RGPD (CIPP/E y CIPM).

Artículos 38 y 39: posición del funcionario de protección de datos y funciones del funcionario de protección de datos

Los Artículos 38 y 39 describen los casos en los que el funcionario de protección de datos debe participar, su autonomía y las tareas que debe realizar.

El funcionario de protección de datos de OCLC está encargado de cumplir con las tareas derivadas del Artículo 39. Además, OCLC ha creado un equipo de asistencia en temas de privacidad para que ayude al funcionario de protección de datos a cumplir con sus obligaciones y aborde problemas locales, de ser necesario. OCLC se compromete a garantizar la autonomía de su funcionario de protección de datos. En caso de que se identifique un posible conflicto, el asesor general y el funcionario de protección de datos de OCLC deben abordar el posible conflicto y trabajar juntos para garantizar que se mantenga la autonomía.

Artículos 40 al 43: códigos de conducta; supervisión de códigos de conducta aprobados; certificación; y organismos de certificación

Estos artículos se refieren a la promoción de asociaciones y otros organismos para crear y adoptar códigos de conducta con respecto al RGPD.

Actualmente, OCLC no está involucrado en la creación de códigos de conducta.

Artículos 44 al 49: principios generales de las transferencias; transferencias basadas en una decisión de adecuación; transferencias mediante garantías adecuadas; normas corporativas vinculantes; transferencias o divulgaciones no autorizadas por el Derecho de la Unión; y excepciones para situaciones específicas

Los Artículos 44 al 49 abordan varios requisitos relacionados con la transferencia de datos personales.

La sede central de OCLC está en los EE. UU. Cuenta con oficinas en varios lugares, entre ellos, centros de datos en los Países Bajos, EE. UU. Australia y Canadá. Es posible que haya transferencias de datos provenientes de la UE.

Con respecto a las transferencias que requieren garantías adecuadas, dichas transferencias se realizan de conformidad con las cláusulas estándar de protección de datos según lo permitido en el Artículo 46. OCLC formaliza cláusulas estándar de protección de datos con las bibliotecas al celebrar contratos derivados de las disposiciones del Artículo 28.

Artículos 50 al 78: cooperación internacional en el ámbito de la protección de datos personales; autoridad de control; independencia; condiciones generales aplicables a los miembros de la autoridad de control; normas relativas al establecimiento de la autoridad de control; competencia; competencia de la autoridad de control principal; funciones; poderes; informe de actividad; cooperación entre la autoridad de control principal y las demás autoridades de control interesadas; asistencia mutua; operaciones conjuntas de las autoridades de control; mecanismo de coherencia; dictamen del Comité; resolución de conflictos por medio del Comité; procedimiento de urgencia; intercambio de información; Comité Europeo de Protección de Datos; independencia; funciones del Comité; informes; procedimiento; presidencia; funciones del presidente; secretaría; confidencialidad; derecho a presentar una reclamación ante una autoridad de control; y derecho a la tutela judicial efectiva contra una autoridad de control

Los Artículos 50 al 78 contienen normas relativas a los estados miembro, sus autoridades de control y el Comité Europeo de Protección de Datos.

Artículo 79: derecho a la tutela judicial efectiva contra un controlador o procesador

El Artículo 79 describe los derechos de los interesados a buscar recursos legales. Esto puede incluir procedimientos judiciales contra los controladores o procesadores en el lugar donde estos tengan una sede.

OCLC es un procesador de las bibliotecas y podría estar sujeto al Artículo 79 en cuanto a los usuarios y miembros del personal de la biblioteca. OCLC tiene sedes en la UE, donde se podrían llevar a cabo los procedimientos judiciales.

Artículos 80 y 81: representación de los interesados y suspensión de los procedimientos

Estos Artículos del RGPD se refieren a la forma en que los interesados podrían presentar sus demandas y cómo los tribunales podrían suspender los procedimientos.

Artículo 82: derecho a indemnización y responsabilidad

El Artículo 82 describe la forma en que los interesados pueden pedirles indemnizaciones a los controladores y procesadores.

En virtud del Artículo 86, los miembros del personal y los usuarios de la biblioteca pueden solicitar una indemnización directa por parte de OCLC, ya que es el procesador de la biblioteca. El Artículo 82 y los contratos entre OCLC y una biblioteca también les adjudican responsabilidades a dichas partes.

Artículos 83 y 84: condiciones generales para la imposición de multas administrativas y sanciones

Los Artículos 83 y 84 contienen disposiciones que permiten que las autoridades de control y los estados miembro impongan multas administrativas y otras sanciones.

En caso de que OCLC, en calidad de procesador de las bibliotecas, infrinja las disposiciones del RGPD relativas a los procesadores, OCLC podría estar sujeto a la imposición de multas y otras sanciones.

Artículos 85 al 90: procesamiento y libertad de expresión y de información; procesamiento y acceso del público a documentos oficiales; procesamiento del número nacional de identificación; procesamiento en el ámbito laboral; garantías y excepciones aplicables al procesamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos; y obligaciones de secreto

Los Artículos 85 al 90 contienen diversos requisitos y derechos de los estados miembros, como conciliar el RGPD y los derechos de libertad de expresión, y permitir que los estados miembro creen normas más específicas en el contexto del procesamiento de datos laborales.

Artículo 91: normas vigentes sobre protección de datos de las iglesias y asociaciones religiosas

El Artículo 91 contiene leyes que son aplicables a las iglesias y asociaciones religiosas.

El Artículo 91 no es aplicable a OCLC, ya que no es una iglesia ni una asociación religiosa.

Artículos 92 al 99: ejercicio de la delegación; procedimiento de comité; derogación de la Directiva 95/46/CE; relación con la Directiva 2002/58/CE; relación con acuerdos celebrados anteriormente; informes de la Comisión; revisión de otros actos jurídicos de la Unión en materia de protección de datos; y entrada en vigor y aplicación

Estos Artículos abordan la implementación y la eficacia del RGPD.

El RGPD entró en vigor el 25 de mayo de 2018.