¡Pide presupuesto en 2 min! ✓
Glosario

Encargado del tratamiento de datos personales según el RGPD

6 Mins read

Con la entrada en vigor del RGPD y la LOPDGDD hay dos figuras que han ganado todavía más relevancia en la gestión de los datos personales: el responsable y encargado del tratamiento. En este artículo te hablamos precisamente de la figura del encargado del tratamiento: quién puede ejercer, cuáles son sus funciones y qué obligaciones ha de cumplir por ley.

¿Qué es un encargado del tratamiento de datos?

El encargado del tratamiento de datos es la figura que se encarga del tratamiento de los datos personales en una empresa por cuenta del responsable. Será el responsable del tratamiento el que se encargue de determinar los fines y medios del tratamiento, y el encargado se limitará a llevarlo a la práctica siguiendo las directrices del responsable.

Por decirlo de otra manera, el responsable cede el tratamiento de los datos en la empresa el encargado, el cual ha de perseguir los fines y emplear los medios dispuestos por el primero.

Nuestras ventajas

✓ Gestión clara y eficaz

✓ Presupuesto adaptado a tus necesidades

✓ Documentación accesible desde panel de usuario

✓ Garantía absoluta adaptación a la LOPDGDD

✓ Asesoramiento especializado

¡Pídenos presupuesto sin compromiso!




contrato de acceso a datos personales por cuenta de terceros

¿Quién puede ser el encargado del tratamiento de datos personales?

El artículo 28 del RGPD señala que el responsable del tratamiento podrá elegir a un único encargado del tratamiento, siempre y cuando ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas necesarias que garanticen la protección de los derechos de los interesados, de acuerdo a lo dispuesto en el propio reglamento.

En este sentido, pueden ejercer como encargados del tratamiento personas físicas o jurídicas, autoridades públicas, servicios u otros organismos autorizados para el tratamiento de datos personales.

El encargo del tratamiento siempre se cede a terceros externos a la empresa, salvo en los casos de grupos de empresas, en los que una de ellas puede actuar como encargado del tratamiento para otra empresa del grupo.

Nuestras ventajas

✓ Gestión clara y eficaz

✓ Presupuesto adaptado a tus necesidades

✓ Documentación accesible desde panel de usuario

✓ Garantía absoluta adaptación a la LOPDGDD

✓ Asesoramiento especializado

¡Pídenos presupuesto sin compromiso!




¿Cuáles son las obligaciones del encargado del tratamiento de datos?

Las obligaciones y funciones del encargado de tratamiento de datos respecto a los datos personales son las siguientes.

Obligaciones organizativas

Son las relativas a la manera que debemos planificar el tratamiento de datos por el proveedor

  • Deberá manejar los datos personales de acuerdo a las instrucciones proporcionadas por el responsable del fichero en el tiempo y la forma oportunos.
  • No podrá usar los datos con fines diferentes a los indicados.
  • Utilizará los datos de carácter personal a los que pueda acceder única y exclusivamente para satisfacer sus obligaciones contractuales.

En medidas de seguridad

Se deben establecer una serie de medidas relativas a mantener íntegros los datos y que no se comuniquen a externos son consentimiento

  • Garantizará que las personas autorizadas para tratar los datos se hayan comprometido a respetar la confidencialidad.
  • Adoptará las medidas técnicas y organizativas que la normativa, tanto europea como nacional exige.
  • Destruir o restituir al responsable del fichero los datos de carácter personal, así como los soportes que lo contengan, dando fe por escrito de dicha devolución o destrucción.
  • Conservar, debidamente bloqueados, los datos en tanto pudieran dar lugar a responsabilidades de su relación con el responsable del tratamiento.

De asistencia al responsable

Es necesario establecer una colaboración entre las 2 figuras principales

  • Asistirá al responsable, a través de medidas técnicas y organizativas apropiadas, para que este pueda cumplir con su obligación de responder a las solicitudes de Derechos Arco
  • No declarar, transmitir, ceder o comunicar los ficheros y datos en ellos contenidos, de ninguna forma, a ningún tercero.

Y por último, pero muy importante, y en relación a lo que vimos en el apartado de medidas previas,  el encargado pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el contrato.

También permitirá y contribuirá la realización de

  • auditorías
  • inspecciones

En caso de subcontratación…

Se puede dar el caso, que la empresa a la que contratamos para la realización de un servicio, subcontrate a otra empresa para ello.

Con carácter general, el encargado del tratamiento no podrá subcontratar con un tercero la realización de ningún tratamiento que le haya delegado el responsable del tratamiento.

Solo se podrá subcontratar si está autorizado para ello por escrito, ya sea de forma general o específica.

Autorización general

El encargado está obligado a informar al responsable de la entrada de un subencargado o su sustitución por otros subencargados, dando así al responsable la oportunidad de oponerse a dichos cambios.

En todo caso el encargado deberá imponer, mediante el contrato o acto jurídico, las mismas obligaciones que tiene aquel y que se recogen en el contrato inicial.

Diferencia entre Responsable y Encargado de Tratamiento de Datos

El artículo 4 del RGPD define a responsables y encargados del tratamiento de la siguiente manera:

  • El responsable del tratamiento de datos es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.
  • El encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

Asimismo, el artículo 28.3 del RGPD puntualiza que “tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional“.

Por tanto, se puede decir que el responsable cede el tratamiento de los datos al encargado, pero sigue siendo el máximo responsable sobre los fines, medios y consecuencias del tratamiento de los datos.

Un contrato regula la relación entre el responsable y el encargado de Tratamiento

Como todas las relaciones negociales, deberá ser regulada mediante un contrato escrito.

Así lo determina la normativa en los artículos

  • 33 de la LOPDGDD
  • 28.3 del RGPD

Una de las grandes novedades que presenta el RGPD es el “principio de responsabilidad activa” (accountability), que viene a imponer al responsable y al encargado del tratamiento, estar en condiciones de demostrar que cumple con las previsiones normativas en materia de protección de datos de carácter personal.

Por lo tanto, antes de la realización del contrato nuestra empresa, como responsable deberá

  • Comprobar que la empresa con la que queremos contratar realiza el tratamiento de datos conforme la normativa actualizada
  • Solicitar un certificado de ese cumplimiento para evitar futuras responsabilidades

Como hemos dicho, el contrato de encargado de tratamiento de datos debe establecerse entre el responsable del fichero y el encargado del tratamiento por escrito.

Propósito de este contrato

El contrato entre responsable y encargado de tratamiento de datos tiene el objetivo de establecer las condiciones según las cuales el encargado del tratamiento, durante la prestación de los servicios encomendados, realizará el tratamiento de los ficheros propiedad del responsable del fichero.

El encargado del tratamiento podrá tener acceso a dichos ficheros que incluyen datos de carácter personal, para la prestación de los servicios contratados.

No obstante, nuestra empresa, como responsable del fichero, seguirá teniendo bajo control los usos y fines del tratamiento.

Contenido mínimo y obligaciones

contrato encargado del tratamiento contenido minimo y obligaciones

Cuándo se debe firmar

Siempre que se produzca un acceso a datos personales de los cuales nuestra empresa sea responsable.

Entre estos datos se incluyen:

  • clientes
  • empleados
  • currículums
  • imágenes internas de la empresa (como las grabaciones de videovigilancia)

Ha que destacar también que los proveedores que no manejan datos pero que acceden a tu empresa, como puede ser el personal de limpieza o mantenimiento,  también deberán firmar un contrato, si bien este tendrá menos obligaciones para los proveedores

Incumplimiento de lo acordado

En caso de incumplimiento del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable del tratamiento en lo referente al cumplimiento de las obligaciones del subencargado.

Consecuencias de no firmar el contrato de encargo de tratamiento de datos

En caso de que el responsable del fichero no firme un contrato con los requisitos mínimos exigidos con aquellos proveedores de servicios que accedan a datos de carácter personal de los que es responsable, así como tampoco realice una evaluación previa de dicho proveedor cometerá una infracción calificada como grave por el RGPD y también por la Nueva LOPD.

La sanción que puede imponer la AEPD, según el artículo 83.4 del RGPD por este motivo tendrá un máximo de 10.000.000 € o un 2% del volumen máximo de negocio total anual, inclinándose por el de mayor cuantía.

No te arriesgues a ser sancionado por no tener firmado este contrato con todos aquellos que puedan acceder a tu información confidencial.

Desde Grupo Ático34, tlfno. 91 489 64 19te facilitamos el modelo contrato de encargado de tratamiento de datos que necesitan firmar tus proveedores de servicios y, si tienes cualquier duda, consúltanos!

Related posts
Glosario

Victimización secundaria. Qué es y consecuencias

7 Mins read
Las víctimas de violencia de género no solo sufren los hechos causantes del delito, sino que se tienen que enfrentar a otro…
Glosario

Skimming o robo de información en cajeros automáticos

6 Mins read
Una de las acepciones del término skimming se refiere al robo de información en tarjetas de crédito. A continuación vemos en qué…
GlosarioInternet

Dirección IP dinámica y estática. Qué son y sus diferencias

5 Mins read
Cualquier de tus dispositivos conectados a Internet, ya sea el router, el móvil, la tablet, el ordenador o tu nevera inteligente, tienen…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.