Nuevo Reglamento de protección de datos
Las relaciones entre Responsable “Empresa” y Encargado del Tratamiento “Proveedor con acceso a Datos”.
El RGPD, establece que el Responsable del Tratamiento deberá adoptar las medidas necesarias para garantizar y poder acreditar que el tratamiento llevado a cabo por el Proveedor con acceso a Datos o Encargado de Tratamiento se realiza conforme a lo establecido en el RGPD.
“El Responsable del Tratamiento, deberá elegir únicamente un Proveedor que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del RGPD y garantice la protección de los derechos del interesado.” (art. 21.8 RGPD).
Las novedades introducidas a tener en cuenta por los Proveedores con acceso a Datos son:
− Mantener un registro de actividades de tratamiento. (art. 30 RGPD)
− Determinar las medidas de seguridad aplicables a los tratamientos que lleven a cabo. (art. 32 RGPD)
− Designar un Delegado de Protección de Datos (DPO) en los casos que estén previstos en el RGPD (art. 37 RGPD).
– Los encargados del tratamiento podrán adherirse a códigos de conducta conforme establece el art. 40 RGPD.
– Documentar mediante Contratos de Encargo de Tratamiento que respeten el contenido mínimo que exige el RGPD. Dicho contrato o acto jurídico estipulará, en particular, que el Encargado:
a) Tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable.
b) Garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad.
c) Tomará todas las medidas necesarias de conformidad con el art 32.
e) Asistirá al Responsable, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, para responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados.
f) Ayudará al responsable a garantizar el cumplimiento de las obligaciones en protección de datos, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado.
g) A elección del responsable, suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento.
h) Pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el RGPD, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones (art. 28.3 RGPD).
No obstante, las obligaciones que el nuevo RGPD determina para el Encargado del Tratamiento, no se traducen en una carga de responsabilidad menor para el Responsable del Tratamiento, puesto que la responsabilidad última sigue estando atribuida al Responsable del Tratamiento, quien determinará la existencia del tratamiento y la finalidad del mismo.
Una vez realizada esta breve reseña sobre las novedades introducidas por el RGPD entre el Responsable del Tratamiento y Proveedor con acceso a Datos, podemos corroborar que se modifican las obligaciones derivadas de la relación jurídica y, por consiguiente conlleva la obligación de firmar un NUEVO CONTRATO DE TRATAMIENTO DE DATOS con los Proveedores con acceso a datos que habrá que tenerlo presente para las relaciones que existan entre ambas figuras a partir de mayo de 2018.