FAQs Encargado de tratamiento

RGPD – Información útil para preparar el cambio de normativa.

La entrada en vigor del Reglamento Europeo de Protección de Datos afectará a las relaciones de los responsables de datos con sus encargados de tratamiento. A través de una serie de preguntas frecuentes voy a intentar  aclarar algunos puntos al respecto de esta materia.

¿Qué es el tratamiento de datos? Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como

  • recogida,
  • registro,
  • organización,
  • estructuración,
  • conservación,
  • adaptación o modificación,
  • extracción,
  • consulta,
  • utilización,
  • comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión,
  • limitación,
  • supresión o destrucción;

¿Qué es un Encargado de Tratamiento? La persona física o jurídica que trate datos personales por cuenta del responsable del tratamiento.

¿Qué es una cesión de Datos? Toda revelación de datos realizada a una persona distinta del interesado.

¿Cómo sabemos si estamos ante una Cesión de Datos o ante un Encargo de Tratamiento? Para saber si estamos ante una Cesión de Datos o ante un Encargo de tratamiento debemos  tener en cuenta que es el Responsable quien decide sobre la finalidad y los usos de la información, mientras que el Encargado del Tratamiento debe  cumplir con las instrucciones de quien le encomienda un determinado servicio.

¿Qué obligaciones tiene el Responsable de Tratamiento en la elección del Encargado de tratamiento? Se le exige al Responsable un deber de diligencia en la elección y supervisión del Encargado, debiendo asegurarse que el Encargado aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme al RGPD.

No hay que olvidar que el Responsable de Tratamiento seguirá siendo el responsable de los datos y por tanto, no puede obviar su obligación de asegurar el cumplimieto por parte del Encargado de Tratamiento.

¿Cómo se regula la relación entre el Responsable y el Encargado de Tratamiento? A través de un contrato que debe constar por escrito.

¿Cual debe ser el contenido mínimo del contrato?

El contrato ha de contener, como mínimo:

  • objeto,
  • duración,
  • naturaleza,
  • finalidad del tratamiento,
  • tipo  de  datos personales y categorías  de  interesados,
  • obligaciones y derechos del responsable.

En particular el acuerdo deberá contener:

  • Instrucciones: Debidamente documentadas. Claras y concretas. El encargado informará inmediatamente al responsable si, en su opinión, una instrucción infringe el presente RGPD u otras disposiciones en materia de protección de datos de la Unión o de los Estados miembros.
  • Deber de confidencialidad: Garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria;
  • Medidas de Seguridad: El acuerdo  debe establecer la obligación del ET de cumplir las medidas de seguridad. El Responsable y el Encargado del tratamiento establecerán las medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado al riesgo existente que, en su caso, incluyan, entre otros:
    • La seudoanimización y el cifrado de datos personales;
    • La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
    • La  capacidad  de  restaurar  la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico;
    • Un  proceso  de  verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
  • Subcontratación: Necesaria autorización previa por escrito del responsable. El encargado informará al responsable de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al responsable la oportunidad de oponerse a dichos cambios.  Cuando un encargado del tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del responsable, se impondrán a este otro encargado, mediante contrato, las mismas obligaciones que las estipuladas en el contrato entre el responsable y el encargado. Si ese otro encargado incumple sus obligaciones de protección de datos, el encargado inicial seguirá siendo plenamente responsable ante el responsable del tratamiento por lo que respecta al cumplimiento de las obligaciones del otro encargado.
  • Atención de los Derechos de los Usuarios: Deberá quedar suficientemente claro:
    • Si corresponde al ET atender las solicitudes de ejercicios de derecho de los interesados
    • Si el ET se limitará a comunicar al responsable que se ha ejercido una solicitud de derechos, debiendo hacer constar de forma concreta y clara  la forma y plazo en que se debe comunicar este hecho al responsable.
  • Colaboración y Asistencia: ET ayudará al responsable a garantizar el cumplimiento de la obligación de aplicar las medidas de seguridad, comunicación de violaciones de seguridad a los interesados, realización de evaluaciones de impacto y realización de consultas previas. El RT podría delegar el cumpliemiento de estas obligaciones en el ET.
  • Devolución o Destrucción de los Datos: Deberá hacerse constar a elección del responsable del tratamiento si, una vez finalizada la prestación del servicio, el ET deberá suprimir o devolver los datos al RT. Deberá fijarse forma y plazo de suprimir o devolver. ET podrá conservar los datos debidamente bloqueados en tanto en cuanto puedan derivarse responsabilidades de la ejecucińo de la prestación del servicio.
  • Acreditación del Cumplimiento: ET deberá  poner a disposición del responsable toda la información para demostrar su cumplimiento. Deberá permitir y contribuir a la realización de auditorías e inspecciones por parte del responsable o de otro auditor autorizado.

¿Debemos informar a los usuarios sobre la contratación de Encargados de Tratamiento?

El RGPD no establece obligación al respecto.

¿Puedo contratar a un Encargado de Tratamiento ubicado fuera de la Unión Europea?

Sí, pero deberé cumplir el régimen establecido para las transferencias internacionales de datos. En ningún caso la contratación de un ET ubicado fuera del territorio de la UE podrá suponer un menoscabo de la protección de los interesados.

 

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s