Los Encargados de tratamiento, es uno de los aspectos que ha sufrido modificaciones con el Reglamento General de Protección de Datos (RGPD).
Las novedades más importantes son:
1.- Antes no se establecían de forma directa obligaciones para los encargados, centrándose la LOPD y su reglamento de desarrollo en las obligaciones del Responsable del Fichero. Ahora, con el RGPD, se establecen a lo largo de su articulado diversas obligaciones ya dirigidas directamente a los encargados tales como:
2- Antes existía cierto deber de diligencia a la hora de seleccionar a los encargados de tratamiento, pero ahora se hace énfasis en la necesidad de escoger y estudiar las condiciones de seguridad que ofrecen los encargados de tratamiento al amparo del RGPD, de tal manera de que sólo se han de elegir encargados de tratamiento que puedan demostrar que cumplen con el RGPD.
A manera de comparativa es ejemplificativo el cuadro que expongo a continuación:
Obligaciones | LOPD | RGPD |
Elección del encargado de tratamiento | El Reglamento de Desarrollo de la LOPD establecía la necesidad de diligencia debida en la selección de encargados | Según el RGPD, el responsable deberá adoptar medidas apropiadas, incluida la elección de encargados, de forma que garantice y esté en condiciones de demostrar que el tratamiento se realiza conforme el RGPD (principio de responsabilidad activa). |
Modo de comprobar que el encargado cumple con las exigencias legales | Era una obligación sin mencionar el cómo hacerse, por lo que en la práctica se pedía un comprobante de la empresa que había adaptado o auditado al encargado de tratamiento | Para demostrar que los encargados o subencargados ofrecen las garantías exigidas por el RGPD, éstos podrán adherirse a códigos de conducta o certificarse dentro de los esquemas previstos por el RGPD |
Obligaciones Responsables/Encargados | La LOPD se centra en la actividad de los responsables | El RGPD, por el contrario, contiene obligaciones expresamente dirigidas a los encargados, tales como:
· Deben mantener un registro de actividades de tratamiento. · Deben determinar las medidas de seguridad aplicables a los tratamientos que realizan. · Deben designar a un Delegado de Protección de Datos en los casos previstos por el RGPD |
3.- Por último, los contratos de encargo de tratamiento tienen nuevas menciones, por lo que hay que redactar nuevos contratos que incluyan dichas novedades.
También creo y, a manera de ejemplo, que el siguiente cuadro deja claro las diferencias de contenidos entre el contenido del contrato exigido por la LOPD y por el RGPD.
Contenido del contrato | LOPD | RGPD |
El encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas | Se debe hacer mención a esta situación | Se debe hacer mención a esta situación |
Se indicarán las medidas de seguridad | Se debe hacer mención a esta situación | Se debe hacer mención a esta situación |
Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento. | Se debe hacer mención a esta situación | Se debe hacer mención a esta situación |
En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente. | Se debe hacer mención a esta situación | |
Si se permite o no la subcontratación | Se debe hacer mención a esta situación | Se debe hacer mención a esta situación |
Las personas autorizadas para tratar datos personales por parte de los encargados de tratamiento se han tenido que comprometer a respetar la confidencialidad o estarán sujetas a una obligación de confidencialidad de naturaleza estatutaria | No se exigía | Se exige |
Respuesta a las solicitudes de los derechos de los titulares: Se debe dejar por escrito si las solicitudes del ejercicio de derechos las responde el encargado o se trasladan al responsable | No se exigía | Se exige |
Deber de colaboración: Ayudará al responsable a garantizar el cumplimiento de ciertas obligaciones legales (implantación de medidas de seguridad, notificación de violaciones de seguridad y Evaluaciones de Impacto de Privacidad) | No se exigía | Se exige |
Demostrar el cumplimiento de sus obligaciones: Pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable. | No se exigía | Se exige |
El equipo de profesionales de Govertis
KEEP READING