Seleccionar página

El encargado del tratamiento

por | Feb 4, 2020 | blog, RAT o Registro de Actividades de Tratamiento | 0 Comentarios

encargado-de-tratamiento

¿Quien es el encargado del tratamiento?

El encargado del tratamiento es el que trata datos personales por cuenta del responsable del tratamiento. 

El encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que presta un servicio al responsable que conlleva el tratamiento de datos personales por cuenta de éste.

Suele ser un tercero externo a la empresa. Hablaríamos, por ejemplo, de asesorías laborales, fiscales o contables, de los transportistas, de los informáticos, mutuas de prevención de riesgos, etc.

Hay que tener muy en cuenta que la responsabilidad final siempre es del responsable, quién determina la finalidad que persigue el tratamiento de datos.

PROTOCOLO DE REGULACIÓN DE LA RELACIÓN ENTRE RESPONSABLE Y ENCARGADO DEL TRATAMIENTO (ARTÍCULO 28 RGPD)
  • Modelo de Contrato de acceso a datos que la empresa deberá elaborar conforme a las Directrices para la elaboración de contratos entre responsables y encargados del tratamiento y que se utilizará para completar cada uno de los contratos de encargado del tratamiento que deban suscribirse.
  • Listado de proveedores que asumen la figura de encargado del tratamiento, indicando por cada uno de ellos: Tipo de servicios que implica el acceso a datos personales, Fecha de firma del contrato con el encargado del tratamiento, Lugar de archivo del contrato de encargado del tratamiento
  • Evidencias del nivel de cumplimiento del encargado del tratamiento: se propone solicitar periódicamente, evidencias del nivel de cumplimiento por parte del encargado del tratamiento e incorporar al protocolo interno la traza de las evidencias solicitadas.

¿COMO SE REGULA LA RELACIÓN ENTRE EL RESPONSABLE Y EL ENCARGADO?

Contrato

La vinculación entre ambos debe reflejarse en un contrato escrito o acto jurídico, en el que se tendrán en cuenta aspectos como:

  • Objeto, duración, naturaleza y fin del tratamiento de datos.
  • Qué tipo de datos personales se van a considerar y clases de interesados.
  • Obligación por parte del encargado de seguir las instrucciones de responsable a lo largo de todo el tratamiento de datos.
  • Necesidad de que el responsable dé siempre el consentimiento específicamente si hubiera que hacer subcontrataciones.
  • Asistir al responsable cuando lo precise, sobre todo en los derechos de los interesados.
El encargado del tratamiento deberá cumplir con lo siguiente:
  • Únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento.
  • No aplicará ni utilizará los datos con un fin distinto al que figure en el contrato.
  • No comunicará los datos, ni siquiera para su conservación, a otras personas.
  • Expondrá qué hará con los datos una vez finalizado el servicio correspondiente.
  • Las medidas de seguridad que  está obligado a seguir.

Para que el encargado del tratamiento pueda acceder a los datos no es necesario el consentimiento de los afectados, es decir, de las personas cuyos datos se tratan siempre, claro está,  que exista el contrato de encargo mencionado.

Especificaciones del contrato
  • El encargado de tratamiento de datos debe saber y conocer el tipo de servicio que debe realizar (instrucciones claras y concretas con respecto al tratamiento de datos).
  • El responsable debe determinar las personas a quien el encargado debe hacer las comunicaciones pertinentes, en su caso.
  • El encargado deberá informar al responsable en el caso de que haya que hacer comunicaciones a otros países sobre los datos tratados (en caso de que el Derecho de la Unión Europea indique que esas comunicaciones son necesarias). Si alguna de las instrucciones recibidas por el encargado infringe el RGPD, u otra disposición que afecte a Protección de Datos dentro de la UE, este deberá ponerlo en comunicación del responsable de tratamiento de datos.
  • Deber de confidencialidad por parte del encargado de tratamiento de datos y las personas autorizadas a tratar datos de carácter personal.

El responsable debe evaluar los riesgos del servicio, tomar las medidas oportunas para garantizar la seguridad y derechos de las personas

OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO

  1. Mantener un registro de actividades.
  2. Establecer medidas de seguridad sobre los datos que se tratan.
  3. Designar el Delegado de Protección de Datos.
  4. Asistir el responsable en las siguientes cuestiones:
  • Acceder a sus datos personales.
  • Rectificación de los mismos
  • Suprimir lo necesario (esto es lo que se ha llamado derecho al olvido)
  • Limitar el tratamiento
  • Portabilidad de los datos
  • Oposición a cierto tratamiento
  • No querer prestar los datos para algunos automatismos, como crear perfiles, etc.

MEDIDAS ORGANIZATIVAS

Verificado todo lo anterior, comparando los riesgos y probabilidades de problemas graves que afecten a los derechos y libertades de las personas, tanto el responsable como el encargado de tratamiento, deberán tomar medidas organizativas para que la seguridad de los datos sea la más adecuada:

  • Cifrado de datos
  • Garantizar la confidencialidad y disponibilidad de la información cuando sea preciso.
  • En caso de incidencia, restaurar lo más pronto posible la accesibilidad a los datos.
  • Evaluar periódicamente la seguridad para comprobar su eficacia y así, constatar que sigue siendo la adecuada para el tratamiento. Lo ideal es que la seguridad esté certificada, de esta forma se demuestra que se cumplen los más altos requisitos o estándares.
  • Todas las personas que tengan acceso a los datos personales deberán seguir escrupulosamente las medidas de seguridad y las instrucciones del responsable.

Colaboración entre Responsable y Encargado de datos

Es necesario que figure en el contrato cómo ayudará el encargado al responsable en el cumplimiento de las obligaciones necesarias para llevar a cabo unas medidas de seguridad adecuadas, notificaciones de violaciones de datos a las autoridades, a interesados, evaluaciones sobre protección de datos, etc.

Algunas funciones pueden ser delegadas por el responsable en el encargado.

Los datos personales al finalizar el trabajo

Al finalizar la prestación del servicio, los datos personales pueden ser suprimidos de la base, o devueltos por el encargado al responsable, estableciendo  la fórmula en la que se especificará cómo se llevará a cabo.

El encargado puede quedarse con una copia de los datos mientras puedan deducirse responsabilidades del servicio prestado.

Por último,  el encargado debe poner a disposición del responsable toda la información que se precise para cumplir con las obligaciones de tratamiento de datos, incluidas inspecciones y, auditorías y consultorías realizadas por el mismo responsable o personas autorizadas.

logo gestiona abogados
https://protecciondatoscertificado.es/contratacion-online/

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *