Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Encargados del tratamiento

El 25 de mayo de 2022 se cumplió el plazo de vigencia dispuesto por la Disposición Transitoria Quinta de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales para los contratos de encargado de tratamiento firmados con anterioridad a la entrada en vigor del RGPD, esto es, antes del 24 de mayo de 2018. Hablamos de contratos suscritos de forma indefinida. Durante dicho periodo cualquiera de las partes podía solicitar y exigir a la otra la modificación del contrato a fin de que adaptarlo a los compromisos que exige el artículo 28 del RGPD.

La solución para adaptar los contratos de encargo de tratamiento al RGPD pasaban por suscribir un nuevo contrato, que dejaba el anterior sin efectos, o incorporar una adenda o anexo.

El “encargado de tratamiento” se define como «la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento» (artículo 4.8 del RGPD). Algunos ejemplos de encargados de tratamiento son los siguientes: asesorías y gestorías, empresas de mantenimiento informático, prestadores de servicios en la nube, etc.

El RGPD impone al responsable del tratamiento la obligación de elegir únicamente a encargados que ofrezcan garantías suficientes de haber aplicado medidas apropiadas para garantizar la protección de los datos personales y derechos de los interesados. Esta evaluación no puede limitarse al momento de la contratación, sino que se realizará periódicamente, si bien la normativa no dice cada cuanto.

El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, en el que se establecerá el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos de carácter personal, las categorías de interesados y las obligaciones y derechos de cada una de las partes. El contenido de dicho contrato o acto jurídico se concreta en el artículo 28 apartado 3 del RGPD, al cual me remito para evitar extenderme en detalles.

Entre las obligaciones de los encargados de tratamiento se encuentra:

  • Tratar los datos personales de acuerdo a las instrucciones documentadas del responsable.
  • Garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar su confidencialidad.
  • Tomar todas las medidas técnicas y organizativas necesarias para asegurar la información que trata por cuenta del responsable.
  • Llevar un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable.
  • Asistir al responsable, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes de derechos de los interesados.
  • Ayudar al responsable a garantizar el cumplimiento de las obligaciones establecidas en materia de seguridad del tratamiento, notificación de violaciones o brechas de seguridad y elaboración de evaluaciones de impacto.
  • Poner a disposición del responsable la información necesaria para demostrar el cumplimiento de las obligaciones anteriores.
  • Facilitar la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable para asegurar que se han implementado medidas que aseguran la información.
  • Cooperar con la autoridad de control, cuando sea requerido para ello.
  • Suprimir o devolver todos los datos personales una vez finalice la prestación de los servicios de tratamiento y suprimir las copias existentes, a menos que se requiera la conservación de los datos.

Cualquier momento es bueno para evaluar a los encargados de tratamiento con los que se relaciona. Lo idóneo es contar con un protocolo lo más objetivo posible que se pueda activar cada cierto tiempo para comprobar si los encargados son fiables y de fiar. Es útil incorporar como anexo al contrato de encargo, el cuestionario que haya debido responder el encargado para ser evaluado y, en su caso, una relación de las medidas de seguridad que el encargado declare tener implementadas para asegurar la información.

Piense, ahora, si tiene sentido esforzarse como responsable del tratamiento en proteger los datos que trata su organización y, luego, no ser cuidadoso en la selección de los encargados del tratamiento. No olvide que el responsable responde por el encargado frente al titular de los datos.

EnglishPortuguêsEspañol
error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).