Terceros que tratan datos de nuestra empresa. ¡Peligro!
RGPD
Autor: Fabián Plaza Miranda
En mayo del año que viene entrará en vigor el nuevo Reglamento General de Protección de Datos de la Unión Europea (en adelante, RGPD). Como es bien sabido, este texto legal incorpora nuevas obligaciones para todas aquellas personas o empresas que tratan datos de carácter personal. Por ello resulta imprescindible adaptarse poco a poco, aprovechando el tiempo de transición, a fin de que no nos veamos en la obligación de hacer profundos cambios organizativos a toda prisa, cuando el plazo esté a punto de acabarse.
Muchas de las modificaciones que hay que hacer ya son de sobras conocidas. Entre ellas están:
- la redacción de nuevos textos legales informativos para los interesados,
- la creación del marco de aplicación de nuevos derechos (como el derecho a la portabilidad de datos o el llamado «derecho al olvido»),
- la contratación del personal adecuado (Delegado de Protección de Datos),
- la preparación de las evaluaciones de impacto,
- la protección de datos desde el diseño,
- la implementación de protocolos para el caso de que se produzcan violaciones en la seguridad de los datos que estamos almacenando,
- etcétera.
Sin embargo, hay un aspecto al que no se le está dando la atención que merece: el régimen de los encargados de tratamiento.
La inmensa mayoría de empresas ha contratado servicios con encargados de tratamiento… aunque muchas veces desconocen este aspecto. Y ello las coloca en una situación de riesgo, ya que pueden estar vulnerando el RGPD sin saberlo. Cosa que puede llevar aparejadas importantes sanciones.
Lo primero que tenemos que preguntarnos es ¿qué es un «encargado del tratamiento»? El RGPD lo define como «la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento».
Para explicarlo de una forma más sencilla, es encargado del tratamiento cualquiera que acceda a nuestros ficheros de datos personales en nuestro nombre (por ejemplo, para proporcionarnos un servicio). Entrarían en esta categoría las empresas que nos hagan campañas de publicidad por mail, los gestores que nos lleven la contabilidad o algo tan sencillo como servicios externos de introducción de datos, por poner tres ejemplos claros.
Pues bien, a la hora de contratar con ellos es imprescindible asegurarse de que cumplan también con las obligaciones del RGPD. Por ejemplo:
- ¿Saben tratar los datos de la forma que exige el RGPD?
- ¿Disponen de las adecuadas medidas de seguridad?
- ¿Saben cómo realizar notificaciones en caso de que haya violaciones de seguridad?
- ¿Necesitan tener un Delegado de Protección de Datos? Y si es el caso ¿lo tienen, con las atribuciones que describe el RGPD?
- En caso de que le sea aplicable ¿mantiene un registro de actividades del tratamiento?
- Etcétera.
Es importante señalar que el RGPD establece que únicamente se puede elegir encargados del tratamiento que ofrezcan las debidas garantías. Como decíamos antes, lo contrario puede conllevar importantes multas.
Por eso desde Casa Paraula recomendamos:
-
Revisar cuanto antes todos los contratos que se tenga con encargados del tratamiento, para asegurarse de que cumplen con el RGPD.
-
Preparar las nuevas cláusulas contractuales que harán falta a partir del año que viene.