Confiar el procesamiento de datos personales de acuerdo con el GDPR - reglas

Servicio

Casi todos los emprendedores en el desarrollo de su negocio utilizan los servicios de terceros, subcontratando tareas específicas. Independientemente de si se trata de empresas contables, agencias de marketing, un inspector externo de protección de datos personales o un especialista en TI que construye una base de datos sobre la base de la información enviada por el empresario, el empresario proporciona a estas entidades los datos de las personas físicas que almacena. Debido a que están sujetos a una estricta protección, es necesario completar los trámites relacionados con la encomienda del tratamiento de datos personales.

La elección del procesador no puede ser accidental

Si el empresario-responsable del tratamiento utiliza los servicios de otra entidad, transfiriéndole sus datos personales, habitualmente se le encomienda el tratamiento de estos datos. El RGPD impone al controlador la obligación de ejercer la debida diligencia al seleccionar a los procesadores; el controlador debe seleccionar aquellos que:

 "Proporcionar garantías suficientes, en particular en términos de experiencia, confiabilidad y recursos, de la implementación de medidas técnicas y organizativas que cumplan los requisitos del Reglamento, incluidos los requisitos de seguridad del procesamiento" (Considerando 81 del RGPD). Un procesador en el sentido de las disposiciones del GDPR (disposición del Artículo 4 (8) del Reglamento) es cualquier persona física o jurídica, autoridad pública, entidad u otra entidad que procesa datos personales en nombre del controlador. Encargar el procesamiento de datos personales requiere el cumplimiento del procedimiento especificado en las disposiciones del GDPR, principalmente en el contexto de la necesidad de celebrar un acuerdo de encomienda de procesamiento, especificando en detalle las obligaciones impuestas al procesador (más sobre esto a continuación). Sin embargo, no en todos los casos se confiará el procesamiento, incluso si más entidades participarán en el procesamiento de datos; si dos entidades deciden conjuntamente sobre los propósitos y el alcance del procesamiento de datos (por ejemplo, como parte de un proyecto realizado conjuntamente), habrá co- administración. En tal situación, dos entidades serán controladores de datos conjuntos y no será necesario celebrar un acuerdo de procesamiento de datos. Los administradores conjuntos deberán celebrar un acuerdo separado, basándose en lo dispuesto en el art. 26 del RGPD, en el que realizarán arreglos sobre el alcance de su responsabilidad en relación con el cumplimiento de las obligaciones en virtud de las disposiciones del RGPD.

La encomienda del tratamiento de datos personales está sujeta a los requisitos del RGPD.

El reglamento requiere que la encomienda del procesamiento de datos personales se realice sobre la base de un acuerdo celebrado entre el controlador de datos y el procesador. En la práctica, este acuerdo puede constituir un anexo al acuerdo celebrado entre estas entidades y regular los principios de su cooperación.

El contrato debe especificar:

  • el objeto del procesamiento (es decir, una indicación precisa de qué datos se procesan sobre la base del contrato principal celebrado entre las partes);

  • la duración del procesamiento (el período de procesamiento resultará principalmente del contrato principal que regula la relación entre las partes);

  • la naturaleza y el propósito del procesamiento;

  • tipo de datos personales;

  • categorías de interesados;

  • deberes y derechos del administrador.

El acuerdo de procesamiento debe estar por escrito. El GDPR también permite la celebración del contrato en forma electrónica. La parte más importante del contrato serán las obligaciones impuestas al procesador. De conformidad con lo dispuesto en el art. 28 GDPR, el acuerdo de encomienda de procesamiento debe especificar que el procesador:

  1. procesa datos personales solo siguiendo una instrucción documentada del controlador, que también se aplica a la transferencia de datos personales a un tercer país u organización internacional, a menos que dicha obligación le sea impuesta por la legislación de la UE o la legislación de un Estado miembro al que el procesador está sujeto;

  2. asegura que las personas autorizadas para procesar los datos personales se han comprometido a mantener el secreto o están bajo una obligación legal apropiada de secreto;

  3. toma las medidas de seguridad de datos adecuadas (de acuerdo con el artículo 32 del RGPD - "esta disposición indica medidas técnicas y organizativas que permiten ajustar el nivel de seguridad al riesgo existente, por ejemplo, mediante el uso de seudonimización o cifrado de datos personales ");

  4. cumple con los términos de uso de los servicios de otro procesador, de acuerdo con las disposiciones sobre el procesador;

  5. teniendo en cuenta la naturaleza del tratamiento, en la medida de lo posible, ayuda al responsable del tratamiento, mediante las oportunas medidas técnicas y organizativas, a cumplir con la obligación de dar respuesta a las solicitudes del interesado en el ámbito del ejercicio de sus derechos recogidos en el Capítulo III del RGPD (el Capítulo III del Reglamento define los derechos de las personas físicas cuyos datos se relacionan);

  6. teniendo en cuenta la naturaleza del tratamiento y la información de que dispone, ayuda al responsable del tratamiento a cumplir con las obligaciones establecidas en el art. 32-36 del RGPD (es decir, disposiciones que imponen al responsable del tratamiento la obligación de garantizar la seguridad de los datos personales mediante el uso de medidas técnicas y organizativas adecuadas, la obligación de informar sobre las violaciones de datos a la autoridad supervisora ​​y la obligación de realizar una evaluación de impacto de la protección );

  7. al finalizar la prestación de los servicios de tratamiento, según la decisión del responsable del tratamiento, borra o le devuelve todos los datos personales y borra cualquier copia existente de los mismos, a menos que la legislación de la Unión o de un Estado miembro exija el almacenamiento de datos personales;

  8. pone a disposición del administrador toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este artículo, y permite y contribuye a la realización de auditorías, incluidas las inspecciones, y contribuye a ellas, por el administrador o un auditor autorizado por el administrador;

  9. informará inmediatamente al responsable del tratamiento si, en su opinión, la orden que se le ha dado constituye una infracción del presente Reglamento o de otra legislación de la Unión o de los Estados miembros sobre protección de datos.

Si el procesador desea utilizar los servicios de un subcontratista en el desempeño de sus actividades (el llamado otro procesador), debe obtener el consentimiento del controlador de datos. Puede ser específico (para un subcontratista específico) o general. Los subcontratistas tienen las mismas obligaciones de protección de datos que las indicadas en el contrato celebrado entre el responsable del tratamiento y el encargado del tratamiento original. Solo el procesador original es responsable ante el controlador, incluso si el subcontratista no cumple con sus obligaciones. Vale la pena recordar que la lista mencionada anteriormente no es un catálogo cerrado. Dependiendo de las necesidades, las partes del contrato pueden complementar su contenido con disposiciones adicionales, por ejemplo, sobre las reglas de responsabilidad por deficiencias relacionadas con el procesamiento de los datos confiados, auditorías del procesamiento de datos realizadas por el controlador de datos contra la entidad de procesamiento o regulaciones sobre sanciones contractuales.

¡Comience un período de prueba gratuito de 30 días sin condiciones!

La falta de contratación es la base para imponer una sanción.

Si bien las reglas de responsabilidad entre el responsable del tratamiento y el encargado del tratamiento, las partes pueden, en principio, estar libremente reguladas en el contrato de encomienda del tratamiento, la responsabilidad final de las irregularidades relacionadas con la encomienda del tratamiento correrá a cargo del responsable del tratamiento. La falta de un acuerdo de encomienda de procesamiento, en una situación en la que tiene lugar la encomienda real y un tercero procesa los datos personales proporcionados por el administrador de datos, también tendrá consecuencias. Las irregularidades relacionadas con la encomienda del procesamiento de datos personales pueden dar lugar tanto a la imposición de sanciones administrativas por parte del Presidente de la Oficina de Protección de Datos Personales como a la responsabilidad civil hacia la persona cuyos datos hayan sido procesados ​​incorrectamente por el procesador.

Por lo anterior, con el fin de minimizar su responsabilidad, el responsable del tratamiento debe garantizar una posibilidad real de controlar el tratamiento de los datos confiados por el encargado del tratamiento.