Evalúa Consultores, Protección de Datos en Granada

Mediante esta sección de noticias pretendemos hacerles partícipes de todas las novedades interesantes que acontezcan en relación a la normativa sobre protección de datos y de la actualidad de nuestra propia empresa. Hágalo interactivo, comente los post y compártalos en sus redes sociales

10
nov

Mi asesor, mi informático y alguno más acceden a todos los datos de mi empresa. Novedades nueva normativa. Newsletter noviembre 2017

Continuando con las novedades del nuevo Reglamento General de Protección de Datos (RGPD), uno de los aspectos más importantes a tener presente es la relación entre el responsable de tratamiento y encargado del tratamiento.

El contrato de encargo de tratamiento, es aquel que pone en relación al responsable del tratamiento de datos personales con un tercero, con el cual le vincula un contrato de prestación de servicios en virtud del cual se produce un acceso a los datos personales contenidos en ficheros titularidad del responsable del tratamiento. A éste tercero con acceso a datos de carácter personal, se le denomina como encargado del tratamiento. Ejemplos claros de esta figura pueden ser: una asesoría laboral, un informático, las empresas de mantenimiento de cámaras de seguridad, etc.

El RGPD ya incluye obligaciones y requisitos de la actual LOPD y de su reglamento de desarrollo (RD 1720/2007), ahora bien, añade obligaciones adicionales para responsables y encargados del tratamiento.

El contenido mínimo de un acuerdo o acto de encargo del tratamiento debe establecerse el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable.

social.media_.27

 

 

 

 

 

 

 

 

En particular, el acuerdo o acto debe contener:

  1. Las instrucciones del responsable del tratamiento: Se debe documentar de forma precisa las instrucciones respecto del encargo realizado. Es necesario identificar de forma clara y concreta cuáles son los tratamientos de datos a realizar por el encargado del tratamiento, atendiendo al tipo de servicio prestado y a la forma de prestarlo. Es especialmente necesario determinar de forma clara las comunicaciones a terceros que el responsable encomienda al encargado o que se derivan del servicio prestado.
  2. El deber de confidencialidad: el encargado del tratamiento garantizará que las personas autorizadas para tratar datos personales se han comprometido, de forma expresa, a respetar la confidencialidad.
  3. Las medidas de seguridad: El acuerdo debe establecer la obligación del encargado de adoptar todas las medidas de seguridad necesarias, de conformidad con lo establecido en el artículo 32 del RGPD.
  4. Régimen de subcontratación: El RGPD exige la autorización previa por escrito del responsable del tratamiento para que el encargado del tratamiento pueda recurrir a otro encargado (subencargado) para desarrollar el servicio encomendado, cuando esto conlleve el tratamiento de los datos personales por parte de un tercero.
  5. Los derechos de los interesados: el encargado del tratamiento asistirá al responsable en el cumplimento de la obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el capítulo III del RGPD: acceso a datos personales, rectificación, supresión, limitación del tratamiento, portabilidad de los datos, oposición y a no ser objeto de decisiones individualizadas automatizadas.
  6. La colaboración en el cumplimiento de las obligaciones del responsable: Se debe establecer la forma en que el encargado ayudará al responsable a garantizar el cumplimiento de las obligaciones relativas a la aplicación de las medidas de seguridad que correspondan, la notificación de violaciones de datos a las Autoridades de Protección de Datos, la comunicación de violaciones de datos a los interesados, la realización de las evaluaciones de impacto relativa la protección de datos y, en su caso, la realización de consultas previas.
  7. El destino de los datos al finalizar la prestación: Hay que prever si, una vez finalice la prestación de los servicios de tratamiento, el encargado del tratamiento debe proceder a la supresión o a la devolución de los datos personales y de cualquier copia existente, ya sea al responsable o a otro encargado designado por el responsable.
  8. La colaboración con el responsable para demostrar el cumplimiento: Es preciso establecer la obligación del encargado de poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, realizadas por el responsable o por otro auditor autorizado por el responsable.

Como conclusión se desprende una mayor concreción en los deberes y derechos de las partes, y una regulación más exhaustiva de los tratamientos realizados y de las medidas de seguridad a implementar en aras a una mayor seguridad de los datos personales objeto del tratamiento.

Acerca de Evalua
Somos especialistas en la implantación de la normativa sobre protección de datos: Ley 15/99 de Protección de Datos de Carácter Personal (LOPD), R.D 1720/2007 y Ley de Servicios de la Sociedad de la información y comercio electrónico(LSSI). Nuestro trabajo es avalado por el gran número de clientes que contamos, así como por la resolución de diferentes procedimientos sancionadores ante la Agencia Española de Protección de datos.