Un encargado del tratamiento es una persona física o jurídica, una autoridad pública, una agencia u otro organismo que trata datos personales por cuenta del responsable del tratamiento.
Procesamiento de pedidos - ejemplos:
- Hacer un pedido a una empresa para la destrucción de archivos / documentos / soportes de datos;
- Contratar a una agencia de marketing para que envíe cartas publicitarias o evalúe los análisis del sitio web;
- Autorización de una agencia para contratar nuevos empleados para la empresa;
- Encargar a una empresa el almacenamiento externo de datos;
- Uso de sistemas en la nube para la gestión de clientes y personal.
Control de los procesadores
El responsable del tratamiento debe especificar que el encargado del tratamiento (Art. 28, párrafo 3):
- trata los datos personales únicamente siguiendo sus instrucciones documentadas;
- garantiza que las personas autorizadas a tratar los datos personales se han comprometido a la confidencialidad o están sujetas a un deber legal de confidencialidad adecuado;
- adopta todas las medidas necesarias en virtud del artículo 32 (Seguridad del tratamiento);
- sea capaz de utilizar medidas técnicas y organizativas adecuadas para ayudarle (en la medida de lo posible) a cumplir su obligación de responder a las solicitudes de ejercicio de los derechos de los interesados;
- una vez finalizada la prestación de los servicios de tratamiento, borre, destruya o devuelva todos los datos personales;
- proporciona toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 y permite y contribuye a las verificaciones, incluidas las inspecciones, realizadas por la persona responsable o por otro auditor designado por la persona responsable.
Importante: El responsable del tratamiento es responsable del cumplimiento del RGPD por parte de sus encargados. Por lo tanto, trabajar con procesadores que no cumplen con los requisitos del GDPR dará lugar a multas tanto para esos procesadores como para el controlador.
Tareas / Deberes del Procesador
El tramitador debe tener en cuenta los siguientes puntos:
- Nombramiento de un responsable de la protección de datos;
- Mantenimiento de un directorio de tramitación;
- Cooperación con la autoridad de control en caso de incidente de protección de datos;
- Garantizar la seguridad del tratamiento mediante la aplicación de los correspondientes TOM;
- Cumplimiento de las restricciones a las transferencias de datos a terceros países;
- Si el procesador está situado fuera de la UE: Nombramiento de un representante de la UE.
El controlador también debe asegurarse de que el procesador es capaz de ayudarle en estos puntos:
- Al procesar las presentaciones de los interesados (según el artículo 15);
- Para las medidas de seguridad propias (según el art. 32);
- Al notificar incidentes de protección de datos a la autoridad de control (según el artículo 33);
- Al notificar a los interesados en caso de incidente de protección de datos (según el artículo 34);
- Al realizar las evaluaciones de impacto de la protección de datos (según el artículo 35);
- Durante la consulta con la autoridad supervisora (según el artículo 36).
Contenido mínimo del contrato
El responsable del tratamiento debe celebrar un contrato por escrito o en formato electrónico con todos sus encargados del tratamiento. Este contrato debe ser verificable en caso de una investigación por parte de la autoridad de control. Debe tener el siguiente contenido mínimo :
- Objeto, duración, naturaleza y finalidad del tratamiento;
- Tipo de datos personales;
- Categorías de personas afectadas;
- Deberes y derechos del responsable;
- Funciones del tramitador;
- los transformadores subcontratados, en su caso;
- Procesamiento de datos sólo por instrucción documentada del responsable del tratamiento;
- Obligación de los empleados del procesador de mantener la confidencialidad;
- Protección de los datos personales mediante medidas técnicas y organizativas adecuadas.
Subprocesador
Un subprocesador o subcontratista es cualquier contratista que trate datos personales del responsable del tratamiento por cuenta del mismo.
- El responsable del tratamiento tiene derecho a solicitar información a sus encargados del tratamiento sobre si se utilizan otros procesadores.
- También tiene derecho a oponerse a determinados subprocesadores.
El responsable del tratamiento también debe garantizar que el contrato entre el encargado y el subencargado del tratamiento contenga el contenido mínimo requerido.
En caso de incumplimiento del deber por parte del subencargado del tratamiento, éste será responsable ante el responsable del tratamiento.
Personas corresponsables (Art. 26)
Si dos o más responsables del tratamiento determinan conjuntamente los fines y los medios del tratamiento, son responsables conjuntos (art. 26).
El interesado puede ejercer sus derechos en virtud del RGPD ante cada uno de los responsables del tratamiento y contra ellos.
El acuerdo entre los controladores conjuntos debe especificar de forma transparente cuál de ellos cumple cada obligación en virtud del RGPD. Esto se aplica, en particular, al ejercicio de los derechos de los interesados y al cumplimiento de las obligaciones de información previstas en los artículos 13 y 14.
El acuerdo también debe reflejar debidamente las respectivas funciones y relaciones reales de los corresponsables frente a los interesados.
Lo esencial del acuerdo debe ponerse a disposición de los afectados.
Cada una de las partes corresponsables es responsable de la totalidad de los daños de acuerdo con el Art. 82, párrafo 4 en caso de tratamiento ilegal de datos, a menos que puedan demostrar su falta de culpa (Art. 82, párrafo 3).
Si aún no ha analizado su nivel de seguridad con nuestra aplicación gratuita, ¡regístrese aquí!
