RGPD: Alianzas con clientes

En mayo de 2018, el Reglamento General de Protección de Datos (RGPD) de la UE reemplazó la Directiva de Protección de Datos de la UE adoptada en 1995 (Directiva Europea 95/46/CE). El RGPD afecta en gran medida la manera en que las empresas procesan datos personales de la UE, incluyendo OCLC y sus clientes.

OCLC se compromete a garantizar que nuestros socios y clientes puedan seguir utilizando nuestros productos y servicios a la vez que cumple con el RGPD. Sabemos que el cumplimiento del RGPD requiere una alianza entre OCLC y nuestros socios y clientes en cuanto al uso de los servicios correspondientes de OCLC. Mediante el trabajo conjunto, hemos estado abordando y continuaremos explorando las oportunidades con base en nuestras ofertas de servicios pertinentes, a fin de ayudar a nuestros clientes a cumplir las obligaciones del RGPD como responsables del tratamiento de datos en el futuro. Mientras tanto, OCLC anima a sus clientes a familiarizarse de manera independiente con el RGPD y comenzar inmediatamente con sus esfuerzos de cumplimiento en caso de que aún no lo hayan hecho.

A continuación, podrá encontrar algunas de las preguntas más urgentes que hemos respondido a nuestros socios y clientes sobre lo que significa el RGPD para ellos.

¿Qué exige el RGPD?

Entre otras cosas, el RGPD establece reglas que indican cómo las organizaciones deben procesar los datos personales de los interesados dentro de la UE. Si bien muchas de estas reglas ya existían de acuerdo con el anterior Derecho de la UE, ahora algunas reglas son más estrictas. Las reglas trascienden más allá de las fronteras físicas de la UE y se aplican a cualquier organización, independientemente de si opera en la UE, si ofrece bienes o servicios a personas en la UE o si hace seguimiento al comportamiento de dichas personas.

¿Qué ha hecho OCLC para prepararse para el RGPD?

OCLC cree que el RGPD es un hito importante en el ámbito de la privacidad de datos. Estamos entusiasmados acerca de los principios sólidos de seguridad y privacidad de datos que destaca el RGPD.

OCLC viene preparándose para el RGPD desde el 25 de mayo del 2018, y aunque gran parte de esta preparación sucedió de manera interna, existen varias iniciativas que son evidentes para nuestros miembros y otros usuarios de nuestros productos y servicios. A continuación figuran algunas de las medidas que hemos tomado:

  • Evaluación: OCLC revisó cuidadosamente dónde y cómo nuestros servicios relevantes recopilan, utilizan, almacenan y eliminan los datos personales. Hemos estado actualizando nuestros procedimientos, políticas, normas, gestión y documentación, a medida que ha sido necesario.
  • Productos: hemos evaluado posibles cambios que podemos agregar a nuestros diversos productos para ayudar a nuestros clientes a cumplir algunas de sus obligaciones de RGPD, como aquellas relacionadas con la visualización de avisos de privacidad. Las notas sobre los lanzamientos de los productos, cuando están disponibles, proporcionan una descripción sobre los cambios en los productos que puedan ser de ayuda con respecto al RGPD.
  • Compromisos contractuales: en conjunto con nuestros clientes y proveedores, OCLC ha estado actualizando los términos contractuales, ejecutando acuerdos de procesamiento de datos, según corresponda, a fin de abordar los requisitos del RGPD.
  • Transferencias transfronterizas de los datos personales de la UE: con respecto a los productos y servicios de OCLC, las transferencias transfronterizas de datos personales pueden variar según el producto de OCLC. Para algunos productos, los datos personales se ubican dentro del Espacio Económico Europeo. Para otros, las transferencias de datos personales ocurren fuera del Espacio Económico Europeo. OCLC cuenta con cláusulas contractuales tipo que explican la transferencia de datos del EEE, y OCLC establece cláusulas contractuales tipo directamente con nuestros clientes cuando estos son los exportadores de datos a OCLC fuera del EEE.
  • Capacitación y sensibilización de los empleados: todos los empleados de OCLC deben completar la capacitación sobre privacidad y seguridad de datos. Además de estos requisitos de capacitación, OCLC implementa iniciativas permanentes de sensibilización respecto a diversos temas, entre otros la protección, seguridad y privacidad de datos.

¿Qué medidas de seguridad tiene OCLC para proteger los datos personales que procesa?

OCLC dispone de medidas técnicas y organizacionales sólidas para asegurarse de contar con un nivel de seguridad adecuado para los datos personales recopilados. Adicionalmente, verificamos, evaluamos y valoramos con regularidad la eficacia de nuestras medidas técnicas y organizacionales. OCLC tiene controles tecnológicos y administrativos para limitar el uso de los datos personales con fines de recopilación y cuenta con procesos para detectar y hacer frente a las violaciones de seguridad.

¿Cuál es la diferencia entre un responsable del tratamiento de datos y un encargado del tratamiento de datos?

Con respecto a diversos productos y servicios que OCLC aloja para sus clientes, nuestros clientes actúan generalmente como responsables del tratamiento de datos y OCLC como el encargado del tratamiento. Dentro del contexto del procesamiento de datos personales, la responsable es la organización que determina los fines y los medios de procesar los datos personales. La encargada del tratamiento de datos es la organización que procesa los datos en nombre del responsable.

El RGPD no ha modificado las definiciones básicas del responsable y del encargado, pero ha ampliado las responsabilidades de cada parte. Los responsables seguirán siendo los encargados principales de la protección de datos, pero el RGPD también impone algunas responsabilidades directas al encargado.

¿Qué datos personales procesa OCLC?

Muchos de los productos de OCLC son sistemas de administración de bibliotecas que ayudan a nuestros clientes a procesar sus solicitudes de circulación e identificación de usuarios. Estos productos también recopilan datos personales mínimos de empleados de bibliotecas para efectos de administración de las mismas. Si bien las bibliotecas recopilan y usan algunos datos personales, como nombres de usuarios, nuestros clientes difieren sobre los datos que usan. Los clientes, como responsables del tratamiento de datos, determinan los datos personales específicos que se recopilarán de los interesados y se proporcionarán a OCLC para su procesamiento. OCLC les recomienda a sus clientes examinar los datos personales que procesan para determinar las obligaciones que puedan tener de acuerdo con el RGPD.

¿Ayudará OCLC a sus clientes a responder las solicitudes hechas por los interesados con respecto a la ampliación de sus derechos individuales de acuerdo con el RGPD?

El RGPD les ofrece a las personas más control sobre el procesamiento de sus datos personales. OCLC ha establecido procesos para revisar solicitudes de los titulares de los datos. El aviso de privacidad de OCLC describe los derechos de los titulares de los datos y cómo realizar solicitudes. En muchas instancias, las solicitudes hechas por los titulares de los datos deben ser revisadas y cumplidas por nuestros clientes, como responsables del tratamiento de datos, en lugar de OCLC, que actúa siguiendo las instrucciones del cliente. Los clientes, que creen que no pueden cumplir las solicitudes ellos mismos mediante el uso de nuestros productos, pueden comunicarse con OCLC para pedir ayuda.

¿Impide el RGPD que una empresa almacene datos fuera de la UE?

No existe nada en el RGPD que impida a las empresas almacenar datos personales fuera de la UE, siempre y cuando sus encargados del tratamiento de datos cumplan con las regulaciones de protección de datos correspondientes. Cuando se exportan datos de la UE es posible que sea necesario protegerlos apropiadamente para su transferencia.

¿Qué medidas toma OCLC para garantizar que sus clientes puedan transferir datos personales de manera legal fuera de la Unión Europea?

Cuando los datos personales se trasfieren de la UE a OCLC, Inc. en los Estados Unidos, estos se transfieren de conformidad con las cláusulas contractuales tipo emitidas por la Comisión Europea. La Comisión Europea ha emitido dos conjuntos de cláusulas contractuales para las transferencias entre responsables del tratamiento de datos y un conjunto de cláusulas contractuales para las transferencias entre el responsable del tratamiento de datos y el encargado del tratamiento de datos.