Tercers que tracten dades de la nostra empresa. Perill!

RGPD

Autor: Fabián Plaza Miranda

Al maig de l’any que ve entrarà en vigor el nou Reglament General de Protecció de Dades de la Unió Europea (d’ara endavant, RGPD). Com és ben sabut, aquest text legal incorpora noves obligacions per a totes aquelles persones o empreses que tracten dades de caràcter personal. Per això resulta imprescindible adaptar-se a poc a poc, aprofitant el temps de transició, a fi que no ens vegem en l’obligació de fer profunds canvis organitzatius a tot córrer, quan el termini sigui a punt d’acabar-se.

Moltes de les modificacions que cal fer ja són de sobres conegudes. Entre elles :

  • la redacció de nous textos legals informatius per als interessats,
  • la creació del marc d’aplicació de nous drets (com el dret a la portabilitat de dades o l’anomenat “dret a l’oblit”),
  • la contractació del personal adequat (Delegat de Protecció de Dades),
  • la preparació de les avaluacions d’impacte,
  • la protecció de dades des del disseny,
  • la implementació de protocols per al cas que es produeixin violacions en la seguretat de les dades que estem emmagatzemant,
  • etcètera.

No obstant això, hi ha un aspecte al que no se li està donant l’atenció que mereix: el règim dels encarregats de tractament.

La immensa majoria d’empreses ha contractat serveis amb encarregats de tractament… encara que moltes vegades desconeixen aquest aspecte. I això les col·loca en una situació de risc, ja que poden estar vulnerant el RGPD sense saber-ho. Cosa que pot portar aparellades importants sancions.

El primer que hem de preguntar-nos és què és un “encarregat del tractament”? El RGPD ho defineix com “la persona física o jurídica, autoritat pública, servei o un altre organisme que tracti dades personals per compte del responsable del tractament”.

Per explicar-ho d’una forma més senzilla, és encarregat del tractament qualsevol que accedeixi als nostres fitxers de dades personals en el nostre nom (per exemple, per proporcionar-nos un servei). Entrarien en aquesta categoria les empreses que ens facin campanyes de publicitat per mail, els gestors que ens portin la comptabilitat o alguna cosa tan senzill com a serveis externs d’introducció de dades, per posar tres exemples clars.

Doncs bé, a l’hora de contractar amb ells és imprescindible assegurar-se que compleixin també amb les obligacions del RGPD. Per exemple:

  • Saben tractar les dades de la forma que exigeix el RGPD?
  • Disposen de les adequades mesures de seguretat?
  • Saben com realitzar notificacions en cas que hi hagi violacions de seguretat?
  • Necessiten tenir un Delegat de Protecció de Dades? I si és el cas ho tenen, amb les atribucions que descriu el RGPD?
  • En cas que li sigui aplicable manté un registre d’activitats del tractament?
  • Etcètera.

És important assenyalar que el RGPD estableix que únicament es pot triar encarregats del tractament que ofereixin les degudes garanties. Com dèiem abans, el contrari pot comportar importants multes.

Per això des de Casa Paraula recomanem:

  1. Revisar al més aviat possible tots els contractes que es tingui amb encarregats del tractament, per assegurar-se que compleixen amb el RGPD.

  2. Preparar les noves clàusules contractuals que faran falta a partir de l’any que ve.