¡Pide presupuesto en 2 min! ✓
Glosario

Encargado de tratamiento de datos personales según el RGPD

6 Mins read

Trabajar con terceros es habitual en muchas empresas. Es necesario contratar a terceros para que realicen servicios que nuestra propia entidad no puede realizar y que se necesita para el día a día.

Un ejemplo de esto podría ser cuando necesitamos contratar un servicio informático para la instalación de nuestros sistemas, o a una gestoría para el pago de las nóminas a mis trabajadores.

¿Sabías que esto tiene implicaciones en materia de protección de datos? ¿No te das cuenta de por qué?

No te preocupes, en los siguientes párrafos te lo vamos a explicar, incluyendo el contenido del contrato de encargado de tratamiento que tendrás que firmar.

¿Qué es un acceso a datos por cuenta de terceros?

Se produce un acceso a datos por cuenta de terceros cuando nuestra empresa recurre a una entidad externa, para que realice la prestación de un servicio en su nombre.

Este acceso puede implicar el acceso a sus ficheros o a los sistemas que contengan datos de carácter personal de su responsabilidad.

Ejemplos de encargados del tratamiento:

Factores

Desde el punto de vista de la normativa, entran en juego dos elementos:

  1. Es necesario tratar información confidencial para realizar el servicio
  2. A qué ficheros que contienen datos de carácter personal de nuestra titularidad van a acceder

Figuras

Debemos de identificar a las dos figuras principales:

¿Quién es el responsable del tratamiento de datos personales?

Nuestra organización, que es la que contrata un servicio y es titular de los datos de carácter personal.

¿Quién es el Encargado de tratamiento?

Es la empresa externa contratada por el responsable del fichero (nuestra empresa) para llevar a cabo la prestación del servicio en su nombre.

Nuestras ventajas

✓ Gestión clara y eficaz

✓ Presupuesto adaptado a tus necesidades

✓ Documentación accesible desde panel de usuario

✓ Garantía absoluta adaptación a la LOPDGDD

✓ Asesoramiento especializado

¡Pídenos presupuesto sin compromiso!




contrato de acceso a datos personales por cuenta de terceros¿Cómo regulamos esta relación?

Como todas las relaciones negociales, deberá ser regulada mediante un contrato escrito.

Así lo determina la normativa en los artículos

  • 33 de la LOPDGDD
  • 28.3 del RGPD

Medidas previas a la realización del contrato

Una de las grandes novedades que presenta el RGPD es el “principio de responsabilidad activa” (accountability), que viene a imponer al responsable y al encargado del tratamiento, estar en condiciones de demostrar que cumple con las previsiones normativas en materia de protección de datos de carácter personal.

Por lo tanto, antes de la realización del contrato nuestra empresa, como responsable deberá

  • Comprobar que la empresa con la que queremos contratar realiza el tratamiento de datos conforme la normativa actualizada
  • Solicitar un certificado de ese cumplimiento para evitar futuras responsabilidades

Celebración del contrato

Como hemos dicho el contrato de tratamiento de datos personales debe establecerse entre el responsable del fichero y el encargado del tratamiento por escrito.

Propósito

Tiene el objetivo de establecer las condiciones según las cuales el encargado del tratamiento, durante la prestación de los servicios encomendados, realizará el tratamiento de los ficheros propiedad del responsable del fichero.

El encargado del tratamiento podrá tener acceso a dichos ficheros que incluyen datos de carácter personal, para la prestación de los servicios contratados.

No obstante, nuestra empresa, como responsable del fichero, seguirá teniendo bajo control los usos y fines del tratamiento.

¿Cuándo se debe firmar el contrato?

Siempre que se produzca un acceso a datos personales de los cuales nuestra empresa sea responsable.

Entre estos datos se incluyen:

  • clientes
  • empleados
  • currículums
  • imágenes internas de la empresa (como las grabaciones de videovigilancia)

Ha que destacar también que los proveedores que no manejan datos pero que acceden a tu empresa, como puede ser el personal de limpieza o mantenimiento,  también deberán firmar un contrato, si bien este tendrá menos obligaciones para los proveedores

¿Es necesario que el contrato se encuentre en soporte papel?

No.

Es muy habitual que en muchas empresas que generan cantidades enormes de documentación la tengan toda informatizada, y con los contratos de encargo de tratamiento ocurre lo mismo.

Es perfectamente válido que el contrato se encuentre en formato electrónico, siempre y cuando este se encuentre firmado debidamente por ambas partes, ya sea por firma electrónica (con sello de tiempo) o manuscrita (escaneada de la original).

Contenido mínimo y obligaciones

contrato encargado del tratamiento contenido minimo y obligaciones

 

En todo caso, el contrato, deberá contener los siguientes apartados conforme al tratamiento:

  • Objeto
  • Duración
  • Naturaleza
  • Finalidad
  • Categoría de los interesados
  • Medidas de seguridad aplicables
  • Obligaciones y derechos del responsable y encargado

No obstante, lo más importante serán las obligaciones que tendrán que cumplir los proveedores (encargados de tratamiento)

¿Qué obligaciones tiene un responsable del tratamiento para cumplir con el RGPD?

En todo caso, en el contrato deberán figurar las siguientes obligaciones para el encargado de tratamiento:

Organizativas

Son las relativas a la manera que debemos planificar el tratamiento de datos por el proveedor

  • Deberá manejar los datos personales de acuerdo a las instrucciones proporcionadas por el responsable del fichero en el tiempo y la forma oportunos.
  • No podrá usar los datos con fines diferentes a los indicados.
  • Utilizará los datos de carácter personal a los que pueda acceder única y exclusivamente para satisfacer sus obligaciones contractuales.

En medidas de seguridad

Se deben establecer una serie de medidas relativas a mantener íntegros los datos y que no se comuniquen a externos son consentimiento

  • Garantizará que las personas autorizadas para tratar los datos se hayan comprometido a respetar la confidencialidad.
  • Adoptará las medidas técnicas y organizativas que la normativa, tanto europea como nacional exige.
  • Destruir o restituir al responsable del fichero los datos de carácter personal, así como los soportes que lo contengan, dando fe por escrito de dicha devolución o destrucción.
  • Conservar, debidamente bloqueados, los datos en tanto pudieran dar lugar a responsabilidades de su relación con el responsable del tratamiento.

De asistencia al responsable

Es necesario establecer una colaboración entre las 2 figuras principales

  • Asistirá al responsable, a través de medidas técnicas y organizativas apropiadas, para que este pueda cumplir con su obligación de responder a las solicitudes de Derechos Arco
  • No declarar, transmitir, ceder o comunicar los ficheros y datos en ellos contenidos, de ninguna forma, a ningún tercero.

Y por último, pero muy importante, y en relación a lo que vimos en el apartado de medidas previas,  el encargado pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el contrato.

También permitirá y contribuirá la realización de

  • auditorías
  • inspecciones

En caso de subcontratación…

Se puede dar el caso, que la empresa a la que contratamos para la realización de un servicio, subcontrate a otra empresa para ello.

Con carácter general, el encargado del tratamiento no podrá subcontratar con un tercero la realización de ningún tratamiento que le haya delegado el responsable del tratamiento.

Solo se podrá subcontratar si está autorizado para ello por escrito, ya sea de forma general o específica.

Autorización general

El encargado está obligado a informar al responsable de la entrada de un subencargado o su sustitución por otros subencargados, dando así al responsable la oportunidad de oponerse a dichos cambios.

En todo caso el encargado deberá imponer, mediante el contrato o acto jurídico, las mismas obligaciones que tiene aquel y que se recogen en el contrato inicial.

Incumplimiento por parte del subencargado

En caso de incumplimiento del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable del tratamiento en lo referente al cumplimiento de las obligaciones del subencargado.

Consecuencias de no firmar el contrato de encargo de tratamiento de datos

En caso de que el responsable del fichero no firme un contrato con los requisitos mínimos exigidos con aquellos proveedores de servicios que accedan a datos de carácter personal de los que es responsable, así como tampoco realice una evaluación previa de dicho proveedor cometerá una infracción calificada como grave por el RGPD y también por la Nueva LOPD.

La sanción que puede imponer la AEPD, según el artículo 83.4 del RGPD por este motivo tendrá un máximo de 10.000.000 € o un 2% del volumen máximo de negocio total anual, inclinándose por el de mayor cuantía.

No te arriesgues a ser sancionado por no tener firmado este contrato con todos aquellos que puedan acceder a tu información confidencial.

Desde Grupo Ático34, tlfno. 91 489 64 19, te facilitamos los modelos de contratos que necesitan firmar tus proveedores de servicios y, si tienes cualquier duda, consúltanos!

 

Related posts
Glosario

Soft Law o derecho blando y su papel en el derecho internacional

10 Mins read
¿Has oído hablar de soft law o ley blanda? ¿Conoces las diferencias entre soft law y hard law? Aquí te contamos en…
Glosario

¿Cómo puedo proteger mis obras a través de la propiedad intelectual?

13 Mins read
En esta entrada vamos a explicar cómo podemos proteger nuestras obras a través de la propiedad intelectual. En este artículo hablamos de:¿Qué…
Glosario

Cesión de datos a terceros

12 Mins read
Te explicamos con todo detalle cómo afecta la LOPDGDD en el acceso y la cesión de datos de terceros. ✅

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.