Identificar a los Encargados del Tratamiento
Es muy común que las empresas y organizaciones cuenten con terceros proveedores de servicios para complementar sus negocios. El contrato con estos terceros puede tener como objetivo la ejecución de servicios diversos que en ocasiones implicará el acceso y tratamiento de datos de datos personales.
Cuando estos terceros tratan los datos necesarios para ejecutar el servicio encargado, por cuenta de la empresa u organización que los contrata, se denominarán “Encargados del Tratamiento”. La ley lo define concretamente como “la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento”.
No es sencillo identificar cuando nos encontramos ante un Encargado del Tratamiento puesto que no siempre un proveedor que trate datos, de los cuales somos responsables, para ejecutar el contrato va a ser Encargado del Tratamiento. Sólo lo será, cuando estos datos los trate por cuenta del responsable; como si de éste mismo se tratara.
Algunos claros ejemplos de Encargados del tratamiento son la gestoria que hace las nóminas por cuenta de otra empresa u organización, un servicio de mantenimiento informático de algún programa o aplicación, etc.
Regularización de las relaciones con Encargados del Tratamiento
El hecho de que estos terceros puedan acceder y tratar datos del Responsable del tratamiento requiere del cumplimiento de ciertas obligaciones para garantizar que los datos siguen estando seguros y que los principios y obligaciones de la normativa se continúan cumpliendo.
El Encargado del Tratamiento tendrá, como tal, obligaciones entre las que se encuentran:
- Disponer de un Registro de Actividades de Tratamiento como Encargado del Tratamiento.
- Ser capaz de demostrar el cumplimiento con las obligaciones previstas por la normativa de protección de datos.
- Disponer de un Delegado de Protección de Datos si los tratamientos de datos que realiza como Encargado del Tratamiento lo requieren.
- Aplicar las medidas de seguridad que considere necesarias en relación con los riesgos detectados respecto a los tratamientos de datos que realiza como Encargado del Tratamiento.
Así mismo, el Responsable del Tratamiento tendrá también ciertas obligaciones cuando quiera contratar los servicios de un proveedor que identificaremos como Encargado del Tratamiento. Entre ellas:
- Comprobar que el Encargado del Tratamiento ofrece garantías suficientes para aplicar medidas técnicas y organizativas apropiados.
- Formalizar un contrato u otro acto jurídico, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará lo establecido en el artículo 28.3 RGPD.
Otros terceros
Puede ser también que existan otros proveedores que no necesariamente necesiten tener acceso o tratar datos del Responsable del Tratamiento pero que en el desarrollo de los trabajos encargados puedan tener acceso.
En este caso, será conveniente firmar un acuerdo de confidencialidad con estas empresas y garantizar que lo transmiten a sus trabajadores.
Conclusiones
Es muy importante regular las relaciones con los Encargados de Tratamiento dado que de poco servirá hacer un trabajo de adecuación y cumplimiento de la normativa a nivel interno del Responsable del Tratamiento si después cuenta con terceros Encargados del Tratamiento que no ofrecen las mismas garantías cuando tratan los datos por cuenta de estos.