ENCARGADO DE TRATAMIENTO DE DATOS

Cuando hablamos de las figuras principales en el RGPD nos encontramos con el Encargado de Tratamiento. El Artículo 4 del RGPD lo define como “persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento”

Esto quiere decir que cuando se encargue a otra entidad el tratamiento de los datos, la entidad se convierte en “encargado del tratamiento”.

Como encargados de tratamiento podemos encontrar, por ejemplo, asesorías, consultorías, despachos jurídicos, empresas de prevención de riesgos laborales, empresas de marketing y diseño web, empresas de videovigilancia…. Cualquier empresa a la que contratamos sus servicios para que trate los datos personales de nuestra empresa.

El Reglamento advierte que el tratamiento que lleve a cabo un encargado debe regirse por un contrato o acto jurídico que determine lo siguiente: el vínculo con el responsable; el objeto y duración del tratamiento; la naturaleza y fines del tratamiento; el tipo de datos personales y así como las categorías de interesados, teniendo en cuenta las funciones y responsabilidades específicas que tendrá, en relación con el tratamiento de los datos personales a los cuales tenga acceso.

Tal y como indica el RGPD , el tratamiento que lleva un encargado debe regirse por un contrato en el que esté registrado:

I.        Objeto del encargo

II.      Identificación de la información afectada

III.    Duración

IV.   Obligaciones del encargado del tratamiento

V.     Obligaciones del responsable del tratamiento

Las obligaciones de un encargado pueden variar si en momento determinado el responsable quiere que el encargado le asista en la respuesta a la solicitud de algún derecho, sea quien notifique las violaciones de seguridad por petición suya e incluso le solicite el apoyo para la realización de las Evaluaciones de Impacto. Ahora bien, lo que sí será una obligación común para TODOS es:

• Utilizar los datos personales objeto del tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios
• Tratar los datos de acuerdo a las instrucciones del responsable del tratamiento
• Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de cada responsable
• No comunicar datos a terceras personas (incluidas las transferencias de datos personales a terceros países u organizaciones internacionales), salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles
• Mantener el deber de secreto respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto
• Mantener a disposición del responsable la documentación acreditativa del cumplimiento.

El RGPD exige la autorización previa por escrito del Responsable del tratamiento para que el encargado del tratamiento pueda recurrir a otro encargado (subencargado) para desarrollar el servicio encomendado, cuando esto conlleve el tratamiento de los datos personales por parte de un tercero.

En todo caso, el subencargado del Tratamiento debe estar sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y en la misma forma (acuerdo por escrito o acto jurídico vinculante) que el Encargado del Tratamiento en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas.

En caso de incumplimiento por el subencargado, el encargado inicial seguirá siendo plenamente Responsable ante el Responsable del tratamiento en lo referente al cumplimiento de las obligaciones del subencargado.

Tal y como indica el art. 28.4 RGPD “Cuando un encargado del tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del responsable, se impondrán a este otro encargado, mediante contrato u otro acto jurídico establecido con arreglo al Derecho de la Unión o de los Estados miembros, las mismas obligaciones de protección de datos que las estipuladas en el contrato u otro acto jurídico entre el responsable y el encargado a que se refiere el apartado 3, en particular la prestación de garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conforme con las disposiciones del presente Reglamento. Si ese otro encargado incumple sus obligaciones de protección de datos, el encargado inicial seguirá siendo plenamente responsable ante el responsable del tratamiento por lo que respecta al cumplimiento de las obligaciones del otro encargado”.

Hay que prever si, una vez finalice la prestación de los servicios de tratamiento, el Encargado del Tratamiento debe proceder a la supresión o a la devolución de los datos personales y de cualquier copia existente, ya sea al Responsable o a otro encargado designado por el Responsable.

El acuerdo debe establecer de forma clara cuál de las dos opciones es la elegida por el Responsable, así como la forma y el plazo en que debe cumplirse.

En todo caso, los datos deberán ser devueltos al Responsable cuando se requiera la conservación de los datos personales, en virtud del Derecho de la Unión o de los Estados miembros.

No obstante, el encargado puede conservar una copia con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.

cualquier encargado del tratamiento de datos personales debe tener muy presente que deberá indemnizar cualesquiera daños y perjuicios que pueda sufrir una persona como consecuencia de un tratamiento que no cumpla con el nuevo Reglamento

un encargado de tratamiento jamás podrá tomar decisiones en contra de las instrucciones dadas por el responsable

CONTRATA AHORA TU PROTECCION DE DATOS Y TE EVITAREMOS SANCIONES INNECESARIAS PORQUE PARA ALTABIR LA TRANQUILIDAD DE NUESTROS CLIENTES ES LO PRIMERO

TENEMOS UN AMPLIO CATÁLOGO DE SERVICIOS DE PROTECCIÓN DE DATOS Y CIBERSEGURIDAD