En el apartado de hoy, hablaremos de dos actores relevantes dentro del proceso de adaptación de cualquier entidad a la normativa: 

el responsable del fichero y el encargado del tratamiento.

Responsable y Encargado

El encargado del tratamiento es el que trata datos personales por cuenta del responsable del tratamiento. 

Suele ser un tercero externo a la empresa. Hablaríamos, por ejemplo, de asesorías laborales, fiscales o contables, de los transportistas, de los informáticos, mutuas de prevención de riesgos, etc.

El responsable del fichero es el que decide sobre el tratamiento de los datos (qué se va hacer con ellos, si se van a conservar, se van a ceder o se van a eliminar).

Es decir, la empresa, la organización, la entidad pública o privada, los autónomos, las comunidades de propietarios, etc

Hay que tener muy en cuenta que la responsabilidad final siempre es del responsable, quién determina la finalidad que persigue el tratamiento de datos.

PROTOCOLO DE REGULACIÓN DE LA RELACIÓN ENTRE RESPONSABLE Y ENCARGADO DEL TRATAMIENTO (ARTÍCULO 28 RGPD)
  1. Modelo de Contrato de acceso a datos que la empresa deberá elaborar conforme a las Directrices para la elaboración de contratos entre responsables y encargados del tratamiento y que se utilizará para completar cada uno de los contratos de encargado del tratamiento que deban suscribirse.
  2. Listado de proveedores que asumen la figura de encargado del tratamiento, indicando por cada uno de ellos:
    1. Tipo de servicios que implica el acceso a datos personales
    2. Fecha de firma del contrato con el encargado del tratamiento
    3. Lugar de archivo del contrato de encargado del tratamiento
  3. Evidencias del nivel de cumplimiento del encargado del tratamiento: se propone solicitar periódicamente, evidencias del nivel de cumplimiento por parte del encargado del tratamiento e incorporar al protocolo interno la traza de las evidencias solicitadas.
OBLIGACIONES DEL RESPONSABLE
  • El deber de información: se trata de informar a las personas de la recogida de sus datos personales. También incluye obtener su consentimiento para el tratamiento de los datos.
  • El deber de guardar secreto: el responsable del tratamiento está obligado a garantizar el secreto profesional de los datos y a guardarlos.
  • Asegurar la calidad de los datos: debe cerciorarse que los datos sean adecuados y veraces, que se han obtenido de forma lícita y legítima y que se tratarán de modo proporcional a la finalidad para la que fueron recabados.
  • Atender a los derechos de los ciudadanos : debe dar respuesta a los ciudadanos cuando estos quieran ejercer los derechos de oposición al tratamiento, acceso, rectificación y cancelación. También debe asegurar que en sus relaciones con terceros, cuando comporten acceso a datos personales, se cumpla lo dispuesto en la LOPDEnlace añadido por la extensión vLex.
  • Adoptar las medidas de seguridad adecuadas: con las medidas técnicas y organizativas necesarias, debe garantizar la seguridad de los datos de carácter personal y evitar su alteración, pérdida, tratamiento o acceso no autorizado.
OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO
  • Mantener un registro de actividades.
  • Establecer medidas de seguridad sobre los datos que se tratan.
  • Designar el Delegado de Protección de Datos.
  • Asistir el responsable en las siguientes cuestiones:

Acceder a sus datos personales.

Rectificación de los mismos

Suprimir lo necesario (esto es lo que se ha llamado derecho al olvido)

Limitar el tratamiento

Portabilidad de los datos

Oposición a cierto tratamiento

No querer prestar los datos para algunos automatismos, como crear perfiles, etc.

¿COMO SE REGULA LA RELACIÓN ENTRE EL RESPONSABLE Y EL ENCARGADO?
Contrato

La vinculación entre ambos debe reflejarse en un contrato escrito o acto jurídico, en el que se tendrán en cuenta aspectos como:

  • Objeto, duración, naturaleza y fin del tratamiento de datos.
  • Qué tipo de datos personales se van a considerar y clases de interesados.
  • Obligación por parte del encargado de seguir las instrucciones de responsable a lo largo de todo el tratamiento de datos.
  • Necesidad de que el responsable dé siempre el consentimiento específicamente si hubiera que hacer subcontrataciones.
  • Asistir al responsable cuando lo precise, sobre todo en los derechos de los interesados.
El encargado del tratamiento deberá cumplir con lo siguiente:
  • Únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento.
  • No aplicará ni utilizará los datos con un fin distinto al que figure en el contrato.
  • No comunicará los datos, ni siquiera para su conservación, a otras personas.
  • Expondrá qué hará con los datos una vez finalizado el servicio correspondiente.
  • Las medidas de seguridad que  está obligado a seguir.

Para que el encargado del tratamiento pueda acceder a los datos no es necesario el consentimiento de los afectados, es decir, de las personas cuyos datos se tratan siempre, claro está,  que exista el contrato de encargo mencionado.

Especificaciones del contrato
  • El encargado de tratamiento de datos debe saber y conocer el tipo de servicio que debe realizar ( instrucciones claras y concretas con respecto al tratamiento de datos).
  • El responsable debe determinar las personas a quien el encargado debe hacer las comunicaciones pertinentes, en su caso.
  • El encargado deberá informar al responsable en el caso de que haya que hacer comunicaciones a otros países sobre los datos tratados (en caso de que el Derecho de la Unión Europea indique que esas comunicaciones son necesarias). Si alguna de las instrucciones recibidas por el encargado infringe el RGPD, u otra disposición que afecte a Protección de Datos dentro de la UE, este deberá ponerlo en comunicación del responsable de tratamiento de datos.
  • Deber de confidencialidad por parte del encargado de tratamiento de datos y las personas autorizadas a tratar datos de carácter personal.
  • El responsable debe evaluar los riesgos del servicio, tomar las medidas oportunas para garantizar la seguridad y derechos de las personas.

Verificado todo lo anterior, comparando los riesgos y probabilidades de problemas graves que afecten a los derechos y libertades de las personas, tanto el responsable como el encargado de tratamiento, deberán tomar medidas organizativas para que la seguridad de los datos sea la más adecuada:

  • Cifrado de datos
  • Garantizar la confidencialidad y disponibilidad de la información cuando sea preciso.
  • En caso de incidencia, restaurar lo más pronto posible la accesibilidad a los datos.
  • Evaluar periódicamente la seguridad para comprobar su eficacia y así, constatar que sigue siendo la adecuada para el tratamiento. Lo ideal es que la seguridad esté certificada, de esta forma se demuestra que se cumplen los más altos requisitos o estándares.
  • Todas las personas que tengan acceso a los datos personales deberán seguir escrupulosamente las medidas de seguridad y las instrucciones del responsable.
D.P.D.
Colaboración entre Responsable y Encargado de datos

Es necesario que figure en el contrato cómo ayudará el encargado al responsable en el cumplimiento de las obligaciones necesarias para llevar a cabo unas medidas de seguridad adecuadas, notificaciones de violaciones de datos a las autoridades, a interesados, evaluaciones sobre protección de datos, etc. Algunas funciones pueden ser delegadas por el responsable en el encargado.

Los datos personales al finalizar el trabajo

Al finalizar la prestación del servicio, los datos personales pueden ser suprimidos de la base, o devueltos por el encargado al responsable, estableciendo  la fórmula en la que se especificará cómo se llevará a cabo.

El encargado puede quedarse con una copia de los datos mientras puedan deducirse responsabilidades del servicio prestado.

Por último,  el encargado debe poner a disposición del responsable toda la información que se precise para cumplir con las obligaciones de tratamiento de datos, incluidas inspecciones y, auditorías y consultorías realizadas por el mismo responsable o personas autorizadas.

Más Información
Subencargado de tratamiento de datos
  • Cabe también la subcontratación de servicios en el tratamiento de datos. Para que esto se pueda producir se exige la autorización expresa del responsable por escrito.
  • Se puede dar una autorización para contratar los servicios de una entidad específica o bien una con carácter general, en la cual no se concreta nada.
  • Siempre el responsable tiene la última palabra en la contratación de subencargados por parte del encargado.
  • El o los subencargados estarán sujetos a las mismas medidas y en la misma forma que el encargado, por tanto son de aplicación las mismas normas y en caso de incumplimiento, el encargado rendirá cuentas ante el responsable.
  • En el acto jurídico suscrito entre responsable y encargado se debe determinar si el encargado puede tramitar las solicitudes de los derechos descritos o solo informar al responsable que ha sido ejercido un derecho.

Si se establece el primer supuesto, se debe incluir en el contrato forma y plazos para atender o dar respuesta al derecho solicitado.

En el segundo, se indica la forma y plazo de la solicitud y la información del ejercicio del derecho se comunica al responsable.

Gestiona Abogados

El próximo día hablaremos del Protocolo para hacer efectivo el ejercicio de derechos.

Gestiona Abogados