Controladores de Data, Procesadores de data y Acuerdos de Procesamiento
Escrito por Cristina Sánchez el 4 minutos de lectura
Antes de entender tus obligaciones según el GDPR, es importante saber si eres controlador o processador de datos.
Según el GDPR, los procesadores tendrán sus propias obligaciones directas, pero son menos que para los controladores, ya que los controladores tienen mucho que ver en el cumplimiento del GDPR . Actualmente, los controladores necesitan obligar contractualmente a los procesadores para que traten la información de alguna manera concreta, pero ahora el GDPR explica de manera explícita los puntos que ese contrato debe tener.
¿Qué es un controlador de datos y qué es un procesador de datos?
Veamos, ¿cómo sabes si eres un controlador o un procesador?
Todo depende de la decisión que tomes. Serás un controlador si determinas:
- Porqué los datos deben ser procesados
- Cómo deben ser procesados para conseguir el propósito intencionado, o ambas.
Los procesadores, por el contrario, nunca deciden porqué procesar los datos. Dejan esta decisión al controlador que les ha instruido. Los procesadores pueden tomar decisiones limitadas sobre cómo proceder en el procesamiento de datos para los fines determinados por el controlador, pero estas solo pueden ser decisiones no esenciales.
Esto significa que las decisiones esenciales siempre han de ser llevadas a cabo por el controlador, incluyendo las decisiones sobre lo que se ha de procesar para alcanzar los fines determinados.
Lo más importante que hay que tener en mente son los roles localizados en las bases de hecho.
No es posible firmar un contrato en el que se diga ‘’X será el controlador e Y será el procesador’’ y estar seguro de que será exactamente así. Pero si, Y ha estado tomando decisiones sobre qué datos procesar para los fines de X, Y terminará teniendo el rol de controlador adjunto. Si Y decide procesar datos para sus propios fines, habrá un nuevo controlador para ese nuevo fin.
¿Quién es quién en marketing de afiliación?
En marketing de afiliación, el anunciante siempre es el controlador, porque sólo el anunciante puede decidir ‘porqué’ procesar los datos, sólo el anunciante puede decidir, por ejemplo ‘hagamos algo de marketing online y paguemos comisiones a CPA’
Pero, ¿qué tienen que ver las redes y los afiliados? Son procesadores, o controladores adjuntos al anunciante?
La posición de Awin es que, Awin es un controlador adjunto con el anunciante, junto con los afiliados. Hay, de hecho, un control a tres partes. Esto es porque Awin ha decidido el modelo económico, ambos, Awin y los afiliados deciden qué datos procesar para entregarlos a la campaña del anunciante.
Esto se debe al modo en que las transacciones son trackeadas y reportadas.
¿Cómo hemos llegado a esta conclusión?
Pensamos que esta conclusión es la única que refleja cómo funciona en la práctica.
Si, digamos que Awin o los afiliados estuvieran intentado trabajar con el rol de procesadores de datos, necesitarían conseguir un nuevo procesador de datos aprobado por cada respectivo anunciante previamente cada una de las veces. No pueden tomar estas decisiones por si solos.
Desde el punto de vista del afiliado, también existe la pregunta de cuándo deben empezar a procesar por medio del anunciante controlador. Los afiliados son ya controladores de data procesada para adquirir sus propios usuarios en la web, solo ellos han decidido el fin ‘’Consigamos más tráfico para que vean los anuncios que publicitamos.’’
Si los afiliados fueran procesadores para los anunciantes, ¿en qué punto del proceso del cliente se introducen, y cuando cambia el rol desde la página del afiliado? Esto variaría en cada anuncio, afiliado, o modelo de afiliado.
¿Qué significa esto para los afiliados?
El beneficio de esto es que Awin no requiere que los afiliados firmen acuerdos de procesamiento de datos.
De todas maneras, estamos añadiendo nuevos términos a nuestro acuerdo standard de afiliado, para que seamos claros en lo que el controlador adjunto es responsable. Estos términos cubren, por ejemplo, cómo Awin y los afiliados gestionarán los ruegos de los clientes sobre los datos, o cómo lidiarán con la brecha de datos si esto ocurriese.
Dejando las responsabilidades claras, ayudamos a prevenir que los afiliados y Awin puedan ser asociados a brechas de datos.
También significa que, como controlador, los afiliados necesitarán cumplir con más obligaciones del GDPR. De todas formas, los afiliados ya necesitaban hacer esto cuando procesaban datos para sus propios fines. La consecuencia es que ahora también necesitarán aplicar estas obligaciones para los datos procesados para referirse a un cliente o a un anunciante.
El beneficio principal es que, en la red de Awin, hasta que se haga todo de acuerdo con el GDPR y los acuerdos o términos relevantes, los afiliados son capaces de elegir por sí mismos cómo procesar los datos cuando se redirige tráfico a los anunciantes.