En los artículos anteriores dedicados a la aplicación del GDPR hemos visto qué es un tratamiento de datos personales, los principios de la protección de datos y la licitud para poder tratarlos.
Visto esto, revisamos el procedimiento para realizar una adaptación al Reglamento:
1. Tratamiento de datos
3. Responsabilidad del tratamiento
La obligación de proteger los datos personales recae en todos los participantes en el tratamiento, pero la máxima responsabilidad la tiene el Responsable del tratamiento, que es el que determina los fines y los medios del tratamiento.
Una vez identificado el tratamiento de datos y la licitud del tratamiento, el Responsable debe establecer quién va a tratar los datos, si van a ser personas físicas a su cargo o empresas externas contratadas para ello, o ambas a la vez. También deberá identificar si los datos podrán ser cedidos a terceros y si se prevén realizar transferencias internacionales. En cualquier caso, deberá implementar medidas técnicas y organizativas apropiadas y proporcionadas para garantizar la protección de datos en relación con las actividades del tratamiento (política de seguridad).
El Responsable del tratamiento será el garante universal de que el tratamiento se efectúa conforme al Reglamento y solo podrá desvincularse de su responsabilidad si formaliza contratos o acuerdos conforme lo dispuesto en el GDPR con todos los intervinientes en el tratamiento.
El Responsable deberá comprobar si tiene la obligación de llevar un Registro de las actividades del tratamiento.
El Responsable del tratamiento debe garantizar que el personal que realiza el tratamiento, sea propio o ajeno, se compromete a:
Para ello, el Responsable debe diseñar una política de seguridad donde incluirá las instrucciones necesarias para que el tratamiento se realice conforme el Reglamento y la dará a conocer al personal autorizado para su cumplimiento.
También formalizará acuerdos de confidencialidad, por escrito y debidamente firmados por ambas partes, en formato electrónico o papel, para poder demostrar que ha comunicado al personal las instrucciones del tratamiento y el deber de secreto profesional.
El Responsable del tratamiento solo podrá contratar empresas Encargadas del tratamiento de datos si ofrecen suficientes garantías para cumplir el Reglamento y se comprometan a seguir sus instrucciones.
Para ello, deberá suscribir un contrato, por escrito y debidamente firmado por ambas partes, en formato electrónico o papel, para poder demostrar que le ha comunicado las instrucciones para el tratamiento con todos los detalles que le obliga el Reglamento.
Si además de Responsable también somos Encargados del tratamiento, deberemos preocuparnos de suscribir un contrato con el Responsable del tratamiento antes de proceder al tratamiento y cumplir las disposiciones en él reflejadas.
En este caso, como ya indicábamos en el primer capítulo dedicado a la aplicación del GDPR “1. Tratamiento de datos”, deberemos clasificar los datos tratados por encargo del Responsable en ficheros y designarles las categorías de datos y de tratamiento correspondientes para cumplir la normativa específica para dichas categorías.
A tener en cuenta que si tratamos datos por cuenta de un Responsable sin suscribir el contrato correspondiente, el tratamiento será considerado ilícito y nos será de aplicación el Reglamento como Responsable del tratamiento.
El Encargado deberá comprobar si tiene la obligación de llevar un Registro de las actividades del tratamiento.
Subcontratación del servicio a otro Encargado del tratamiento
El Encargado del tratamiento solo podrá subcontratar el servicio a otro Encargado si existe una autorización previa y por escrito del Responsable del tratamiento. Si fuera el caso, deberá formalizar un contrato entre los dos Encargados que disponga las mismas obligaciones adquiridas con el Responsable del tratamiento.
El Encargado del tratamiento será responsable subsidiario ante el Responsable del tratamiento del incumplimiento de las obligaciones del Encargado subcontratado.
Cuando los fines y los medios del tratamiento se determinan entre varios Responsables, todos serán Corresponsables del tratamiento.
La relación entre Corresponsables del tratamiento (varios Responsables) se formalizará mediante un acuerdo, por escrito y debidamente firmado por ambas partes, en formato electrónico o papel, para poder demostrar las funciones y responsabilidades asignadas a cada uno.
Cuando el tratamiento precise la transmisión o cesión de datos a otra empresa distinta de un Encargado del tratamiento, esta será considerada Destinatario de datos.
El Responsable solo podrá comunicar datos a Destinatarios si se cumplen todos los siguientes requisitos:
Antes de transferir datos a un Destinatario deberemos suscribir un contrato, por escrito y debidamente firmado por ambas partes, en formato electrónico o papel, donde se refleje la licitud de la obtención de datos, la finalidad de la cesión y que el Destinatario será el Responsable del tratamiento de dichos datos. No será necesario suscribir un contrato con el Destinatario cuando la transmisión de datos esté regulada por la ley.
Si recibimos datos como Destinatarios, tal y como indicábamos en el primer capítulo dedicado a la aplicación del GDPR “1. Tratamiento de datos”, deberemos clasificarlos en ficheros y asignarles las categorías de datos y de tratamiento que les correspondan para tratarlos como Responsable del tratamiento.
Cuando el Responsable del tratamiento contrata empresas de servicios que no están autorizadas a tratar datos (limpieza, extintores, etc.), deberá analizar los riesgos que puedan existir por realizar el servicio.
Si determina que pueden existir riesgos, deberá formalizar un contrato donde se especifique que no tiene permiso para acceder a los datos personales y que se compromete a establecer acuerdos de confidencialidad con el personal que presta los servicios en la empresa, por si, en el ejercicio de su trabajo, accedieran de manera accidental o fortuita a ellos.
La obligación de llevar un Registro de actividades afecta a Responsables y Encargados del tratamiento que cumplan alguna de las siguientes condiciones:
El Registro de actividades deberá documentarse en formato electrónico y contener la siguiente información:
Responsable del tratamiento:
Encargado del tratamiento:
Responsable del tratamiento |
Clasificar los ficheros en categorías de datos y de tratamiento |
Personal autorizado | Seguir las instrucciones del Responsable del tratamiento Acuerdo de compromiso de confidencialidad |
Encargado del tratamiento | Contratos de acceso a datos con el Responsable del tratamiento Seguir las instrucciones del Responsable del tratamiento Clasificar los ficheros asignándoles categorías de datos y de tratamiento Acuerdos de confidencialidad con el personal Gestionar los derechos de los interesados del Responsable del tratamiento Autorización del Responsable para subcontratar a otros Encargados del tratamiento Registro de actividades |
Corresponsable del tratamiento | Definir las funciones de cada Corresponsable del tratamiento Determinar las responsabilidades de cada Corresponsable del tratamiento Acordar la gestión de los derechos de los interesados |
Destinatario de datos | Contratos de cesión de datos con el Responsable o Encargado del tratamiento Información sobre la licitud de la comunicación de datos Tratamiento de datos para alcanzar los fines Proceder como Responsable del tratamiento de los datos obtenidos |
Sin permiso de acceso a datos | Analizar los riesgos del servicio Contratos sin permiso de acceso a datos con el Responsable o Encargado del tratamiento Acuerdos de confidencialidad con el personal |
Registro de actividades | Emplear a un mínimo de 250 personas Realizar habitualmente tratamientos con riesgo para los interesados Tratar categorías especiales de datos Tratar datos relativos a condenas y delitos penales |
Tema anterior: 2. Licitud del tratamiento Tema siguiente: 4. Política de seguridad