¡Pide presupuesto en 2 min! ✓
Glosario

Cesión de datos a terceros

12 Mins read

Uno de los temas que más consultas y sanciones ha generado desde la entrada en vigor de la normativa de Protección de datos es la cesión de datos.

Las organizaciones comparten datos personales con terceros todo el tiempo, pero ¿se puede confiar en ellos?

El RGPD amplió el alcance de la responsabilidad en lo que respecta a la protección de datos y la privacidad , entonces, ¿qué ocurre en caso de incidentes de seguridad causados ​​por los proveedores de servicios?

Si tu organización tiene su sede en el Espacio Económico Europeo (EEE), puede haber ocasiones en que desees transferir tus datos a un tercer país, es decir, a todos los países que no están en la Unión Europea o en un estado miembro del EEE. En ese caso, solo puedes hacerlo bajo condiciones específicas, que exploraremos cada una con más detalle a continuación.

¿Qué es la cesión de datos?

Se entiende por cesión de datos cualquier mecanismo de que proporcione acceso a los datos de un fichero a un tercero interesado.

Para poder realizar una cesión de datos hay que cumplir dos requisitos. El primero que la cesión de datos sea para el cumplimiento de fines relacionados con las funciones de cedente y cesionario. Segundo, el previo consentimiento informado del interesado.

cesion datos terceros

El RGPD establece casos en los que no será necesario informar sobre la cesión de datos.

Estos casos son:

  • Cesión esté autorizada por Ley.
  • Se trate de datos recogidos de fuentes de acceso público siempre y cuando los datos sean para la satisfacción de interés propio y se respeten los derechos de los interesados.
  • El tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo cumplimiento y control implique una necesaria conexión del tratamiento de ficheros de terceros. En otras palabras, cuando exista un contrato para prestar un servicio.
  • El destinatario de la comunicación sea el Defensor del Pueblo, el Ministerio Fiscal, Tribunal de Cuentas o Jueces o Tribunales.
  • La cesión sea entre Administraciones Públicas con el fin de tratarlos posteriormente con finalidad histórica, estadística o científica.
  • La cesión de datos relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero.

Acceso a datos por parte de terceros

El acceso a datos por cuenta de un tercero conlleva la prestación de un servicio por parte de una tercera empresa al responsable del fichero, que accede a los datos del fichero para el cumplimiento de la prestación contratada.

Cualquier organización que procese los datos personales de los residentes de la UE está sujeta al Reglamento y debe cumplir con sus requisitos.

Cuando externalizas ciertas actividades de procesamiento de datos a otra organización, tú eres el responsable del tratamiento de datos y el tercero es el encargado del tratamiento de datos.

Un responsable de tratamiento decide qué información se procesa y la base legal para hacerlo, mientras que un encargado del tratamiento completa el procesamiento en nombre del responsable.

Según el RGPD, los responsables del tratamiento son responsables de su propio cumplimiento y del de los encargados.

Como tal, es esencial que investigues las prácticas de seguridad de cualquier posible tercero y que este acepte por escrito las medidas que adoptarça para proteger tus sistemas.

La normativa de Protección de datos indica que “no se considerará cesión de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al Responsable del Fichero”.

acceso datos terceros

Dentro de esos terceros considerados encargados del tratamiento está la asesoría laboral o fiscal que presta servicios a la empresa,  la empresa donde se aloja la página web, la empresa que te presta servicios informáticos o de márketing.

Requisitos

A la hora de permitir el acceso a los datos personales de nuestra empresa a cualquier tercero es necesario cumplir unos requisitos.

Realizar un contrato

Cuando un servicio se obtiene formalmente, un proceso debe estar establecido contractualmente para garantizar que los estándares de seguridad de la información están vigentes, mantenidos y reportados. Un deber de informar cualquier infracción de seguridad deben incluirse formalmente en cualquier contrato y la frecuencia y oportunidad de presentar esos informes.

Por ejemplo, si tu empresa trabaja con una asesoría laboral que elabora las nóminas de tus empleados o con una gestoría fiscal para ayudarte con el tema de impuestos, estas asesorías deben firmar un contrato con tu empresa en el que se recojan las medidas de seguridad que deben adoptar respecto a los datos personales a los que van a acceder.

Debida diligencia

El proceso de selección de un proveedor de servicios externo debe incluir la debida diligencia del tercero, una evaluación de riesgos y una revisión de los términos y condiciones propuestos para garantizar que la empresa no está expuesta a riesgos indebidos.

Este proceso puede implicar el asesoramiento de miembros de empresa con experiencia en derecho contractual, informática, seguridad de la información, protección de datos y recursos humanos.

Este proceso también debe incluir la consideración de cualquier política de seguridad de la información o similar del tercero y si son aceptables para la empresa.

Contrato de acceso a datos

El contrato para el acceso a datos, que deberá realizarse por escrito a ser posible, debe recoger el siguiente contenido:

  • Objeto de la prestación contratada.
  • Mencionar que el acceso a los datos personales es necesario para el cumplimiento del objeto contractual.
  • Obligaciones del encargado del tratamiento.

En caso de que el encargado del tratamiento quiera subcontratar algún servicio que conlleve el acceso de un tercero a los datos, necesitará el consentimiento del responsable del tratamiento, ya sea con un contrato a tres bandas o en una cláusula contractual que recoja el expreso mandato del responsable del fichero para la subcontratación de dichos servicios.

Todos los terceros que tienen acceso a la información o los sistemas de la empresa deben aceptar los siguientes términos en cualquier acuerdo:

  • Cumplimiento de la política de seguridad de los sistemas de información electrónica de la empresa.
  • Cumplimiento de la política de protección de datos de la empresa.
  • Disposiciones apropiadas para garantizar la seguridad continua de la información y los sistemas en el evento de terminación o transferencia de un contrato a otro proveedor.
  • Obligaciones de confidencialidad cuando un tercero tiene acceso a la información de la empresa.
  • Rutas de acceso seguro y derechos de acceso necesarios para el mantenimiento en función del principio de privilegios mínimos
  • Auditoría completa de todas las acciones.

Se debe buscar asesoramiento de especialistas en relación con cuestiones contractuales y cómo deberían incluirse estas medidas. El acceso a los datos por esos terceros no debe comenzar hasta que la empresa esté satisfecha con las medidas de seguridad implantadas por ellos y se haya firmado un contrato vinculante.

¿Cuándo es obligatorio?

El contrato de acceso a datos es obligatorio siempre que la empresa responsable de los datos personales contrate los servicios de un tercero y este, para poder prestar dichos servicios, necesite acceder a esa información personal.

Asesorías

Como indicaba anteriormente, las asesorías tienen acceso a los datos personales de los trabajadores de la empresa que las ha contratado para elaborar sus nóminas o a las facturas donde aparecen datos de los clientes de esa empresa para gestionar los impuestos. Deben firmar obligatoriamente ese contrato de encargados del tratamiento con la empresa.

Empresas de márketing

Si contratas a una empresa para llevar los temas de márketing y publicidad, esta también tendrá acceso a datos personales de clientes y empleados por lo que igualmente deberá firmar ese contrato.

Empresas informáticas y de alojamiento web

En caso de que tu empresa externalice los servicios de mantenimiento informático o tengas una página web alojada en un servidor de un tercero, esas empresas podrán acceder a datos de tus clientes y empleados por lo que deben firmar también este contrato.

Consecuencias de no firmarlo

Desde que entró en vigencia el RGPD, las autoridades de protección de datos han demostrado su disposición a emitir sanciones. Y las pequeñas y medianas empresas no están exentas de ellas. Las multas por incumplimiento pueden variar hasta 20 millones de euros o el 4% de los ingresos globales de la compañía.

Sin embargo, hay dos niveles de multas, según la gravedad y el tipo de violación.

Las multas emitidas por infracciones relacionadas con los procesadores de datos generalmente se incluyen en el primer nivel, que según las pautas puede ser tan grave como 10 millones de euros o el 2% de los ingresos globales.

En cualquier caso, es mucho menos doloroso firmar un acuerdo de procesamiento de datos y cumplir con los términos que pagar una multa por incumplimiento del RGPD.

Al finalizar la relación contractual, ¿qué se hace con los datos?

En el contrato firmado entre el responsable y el encargado del tratamiento debe establecerse expresamente el destino de los datos una vez finalizada la relación contractual.

El responsable del tratamiento puede acordar eliminar todos los datos personales al finalizar los servicios o que el encargado del tratamiento se los devuelva.

¿Es obligatorio que figure en papel?

No, el contrato de acceso a datos puede registrarse en papel o en formato electrónico. Cualquiera de las formas sirve siempre que podamos demostrar que el encargado del tratamiento lo ha firmado.

Cesión de datos entre empresas del mismo grupo

Las sociedades que se integren dentro de un Grupo de Empresas, tienen personalidad jurídica plena e independiente entre sí, y por tanto todo intercambio de datos que se produzca entre diferentes empresas del mismo Grupo empresarial será estimada como una comunicación o cesión de datos.

Así, se exige que cada empresa del grupo previamente:

  • Informe de la cesión y su finalidad al afectado.
  • Solicite su consentimiento.

No obstante lo anterior, es común en los grupos de empresas la existencia de una sociedad matriz que normalmente se encarga de la gestión de los datos de las otras empresas para proporcionarles servicios como la gestión de nóminas, contabilidad, márketing, soporte informático, etc.

En estos casos, aunque se trata de una cesión o comunicación de datos debe tenerse en cuenta:

  • Para evitar que esta comunicación sea interpretada como una cesión, se deberá formalizar un contrato de encargado de tratamiento entre la empresa matriz y aquella que le remita sus datos.
  • La encargada del tratamiento es la empresa matriz, y realizará ese tratamiento según las instrucciones facilitadas por las empresas responsables de los datos.
  • La empresa remitente de los datos sigue siendo responsable de los datos que maneja.

Por tanto, salvo en supuestos de prestación de servicios por parte de la empresa matriz a las filiales, o entre las mismas, toda cesión o comunicación de datos que no suponga el acceso datos por cuenta de terceros requerirá el consentimiento del afectado, así como el deber de información.

Cesión de datos a las Administraciones públicas

Cualquier cesión de los datos deberá fundarse en la necesidad por la Administración cesionaria, en el ejercicio de sus competencias, de conocer los datos de la persona afectada, debido a que la ley de Protección de datos establece la imposibilidad del tratamiento de los datos para fines diferentes de los que motivaron su recogida, salvo que así lo consienta el afectado o la Ley lo prescriba.

Aplicando este criterio, la cuestión del uso legítimo de los datos por las Administraciones públicas vendrá determinada en cada caso por el cumplimiento de ambas premisas, siendo por ello determinante la consideración del desarrollo de competencias efectivamente atribuidas a cada una de ellas, de acuerdo con el principio administrativo de competencia.

Requisitos para realizar transferencias de datos personales

Para realizar una adecuada cesión de datos deben cumplirse tres condiciones:

  • Traslados en función de una adecuación. Es decir, que el país donde vas a transferir los datos los proteja adecuadamente.
  • Transferencias sujetas a salvaguardas apropiadas. En otras palabras, se establezcan adecuadas medidas de protección de esos datos.
  • Reglas corporativas vinculantes. Existan unas normas a las que se haya adherido la empresa cedente y la cesionaria.

Hay exenciones a estas tres condiciones.

Si tu transferencia cumple con alguno de estos criterios, necesitarás tener todo lo necesario claramente documentado y justificado:

  • El individuo dio su consentimiento, después de ser informado del riesgo. Recuerda que cuanto mayor es el riesgo, más claro debe ser el consentimiento. Si estás planeando compartir información biométrica con una compañía extranjera, es mejor que estés seguro sobre el nivel de consentimiento que el afectado te otorgó para ello.
  • La transferencia es necesaria para cumplir el contrato entre el individuo y la empresa. Nuevamente, se trata de privacidad por diseño y por defecto. Solo puedes enviar aquellos elementos de información que son necesarios, lo que se denomina “calidad y proporcionalidad de datos”.
  • Es necesario para el contrato en beneficio del interesado.
  • Si es por interés público. Básicamente, todo lo que es obligatorio por una ley de Estado miembro de la UE, o hecho dentro de la autoridad administrativa de un gobierno de la UE.
  • Es necesario establecer, ejercer o defender reclamaciones legales. Si te han interpuesto una demanda y necesitas presentar evidencias, y para ello debes facilitar información personal de terceros, puedes hacerlo.
  • Es necesario proteger el interés vital de alguien. Es decir, en situaciones de vida o muerte, no necesitas el consentimiento.

Transferencia sobre la base de la adecuación

Esto significa que el país en el que la entidad a la que transfiere la información personal tiene niveles adecuados de protección. Esas transferencias no requieren ninguna autorización específica (pero deben cumplir todas las demás normas del RGPD).

La Comisión estableció ciertos criterios de adecuación:

  • La regla de la ley
  • Respeto de los derechos humanos y las libertades.
  • Legislación relevante, tanto general como sectorial sobre seguridad pública, defensa, seguridad nacional y derecho penal
  • La existencia y el funcionamiento efectivo de una o más autoridades de supervisión independientes en el tercer país.

No hay restricciones para transferir datos personales a países del EEE, pero, por supuesto, asegúrate de procesar y transferir datos de manera responsable.

La información personal solo se puede transferir a una organización que esté bajo un sistema legal que tenga suficientes garantías para los derechos otorgados bajo el RGPD.

Puedes intentar averiguar si un país específico plantea un gran problema o no. O sigue la lista de países que la Comisión ya ha decidido que están bien. Es una lista bastante extraña: en ella se incluye Andorra, las Islas Feroe, la Isla de Man, Guernsey y Jersey, así como Argentina, Canadá, Israel, Nueva Zelanda, Suiza y Uruguay … y espera … los Estados Unidos de América. Si. Bueno, lo de EE.UU. se limita al marco de Privacy Shield.

La lista no incluye Australia. Pero puedes apostar que Australia ofrece una protección adecuada.

Pero si deseas enviar información de identificación personal a Irán, Rusia o China … como era de esperar, habrá muchos más obstáculos. No significa que no puedas. Significa que necesitas establecer algunas otras salvaguardas.

Transferencias sujetas a salvaguardas apropiadas

Entonces, si el país no es “seguro por defecto”, ¿qué debes hacer?

Esto es lo que esta regulación considera como salvaguardas aceptables:

  • Instrumento legalmente vinculante y exigible: esto significa leyes y reglamentos que otro país estableció para asegurarse de que se van a proteger adecuadamente los datos.
  • Reglas corporativas vinculantes: existen fuertes restricciones sobre cuáles pueden ser y cómo se formulan. Esto fue diseñado principalmente para organizaciones multinacionales más grandes, para que puedan continuar operando. Son códigos de conducta muy estrictos y deben ser aprobados por el regulador.
  • Cláusulas estándar de protección de datos adoptadas por la Comisión Europea: Estos son contratos escritos por personas dentro de la Comisión.
  • Cláusulas estándar de protección de datos adoptadas por una autoridad supervisora ​​y aprobadas por la Comisión: esto es lo mismo que lo anterior, pero a nivel de país, no a nivel de la UE.
  • Un código de conducta aprobado: esto es básicamente lo mismo que las “Reglas corporativas vinculantes”, pero no utiliza un ejército de abogados y decide adherirse al código de conducta propuesto de otra persona. Este debe cubrir todas las bases y su adhesión debe ser algo que pueda mostrar.
  • Un mecanismo de certificación aprobado que se une a los compromisos de las organizaciones de terceros países para aplicar las salvaguardas apropiadas, incluido el respeto de los derechos de los sujetos de los datos. Por el momento no hay ninguno. Puede cumplir con el RGPD pero no puede ser certificado porque no hay mecanismos de certificación aprobados.
  • Cláusulas contractuales entre el responsable o encargado del tratamiento y el destinatario en el tercer país u organización internacional: si no puedes obtener salvaguardas generales, aún puedes transferir datos internacionalmente al establecer salvaguardas específicas para la acción específica que estás intentando cumplir.

Normas corporativas vinculantes

Esto es algo que te sucederá a menudo, especialmente si alguna vez usas los servicios de Amazon, Google, Facebook o Microsoft.

Existen reglas corporativas que las empresas multinacionales y las organizaciones internacionales pueden establecer cuando se trata de transferir datos. Esto les permite transferir datos a través de las fronteras de la UE dentro del mismo grupo corporativo, incluso a países con niveles más bajos de protección.

Las reglas corporativas vinculantes deben contener principios de privacidad, como:

  • transparencia,
  • calidad de los datos,
  • seguridad,
  • herramientas de efectividad (como los sistemas de auditoría) y
  • un elemento que demuestre que las reglas son vinculantes.

Las partes deben demostrar que existen medidas de seguridad adecuadas para proteger los datos personales. El conjunto de reglas debe ser aprobado por la autoridad supervisora ​​y solo puede usarse dentro de un acuerdo de organizaciones o una corporación multinacional.

Si deseas transferir datos privados a EE.UU., debes verificar si la empresa estadounidense está certificada con el Escudo de privacidad UE-EE.UU., diseñado para cumplir con los requisitos de protección de datos al transferir datos privados de la UE a Estados Unidos. El escudo de privacidad es un mecanismo autocertificado que debe renovarse anualmente. Por lo tanto, antes de compartir la información personal con una empresa en EE.UU., debes verificar que su certificación esté activa y que la información en cuestión esté cubierta.

Si necesitas asesoramiento personalizado, puedes contactarnos en el teléfono 91 489 64 19 o en el correo electrónico lopd@atico34.com.

Related posts
Glosario

Responsable del tratamiento de datos y el RGPD

16 Mins read
Con motivo de la entrada en vigor del Reglamento General de Protección de Datos aprobado por la UE, la AEPD ha elaborado…
Glosario

¿Qué es un contrato programa? Definición y objetivos

7 Mins read
El Gobierno establece la necesidad de celebrar determinados contratos entre la Administración pública y determinados entes del sector público adscritos a ella…
Glosario

Contrato por diferencia. Conceptos básicos

12 Mins read
Uno de los tipos de contratos existentes en el mercado es el contrato por diferencia. Es una forma de especular en los…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.