GDPR 7. Empresas externas con acceso a datos
Josep Aragonés Salvat 01/09/2016
¿Qué tipos de empresas externas existen que puedan tratar datos de los cuales nosotros somos Responsables del tratamiento?
El GDPR define al Responsable del tratamiento como toda persona física o jurídica, autoridad pública, servicio u organismo que, solo o conjuntamente con otros, determine los fines y los medios del tratamiento de datos personales.
El GDPR define un tratamiento de datos como cualquier operación realizada sobre datos personales: recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión, habilitación de acceso, cotejo o interconexión, supresión o destrucción.
El Responsable del tratamiento, cuando permite tratar datos personales a una empresa externa, debe distinguir que tipo de tratamiento realizará para determinar la responsabilidad adquirida y firmar el contrato de acceso a datos que le corresponda.
El tratamiento externo de datos personales se clasifica en 4 tipos de empresas:
- Encargado del tratamiento: empresa que trata datos personales por cuenta (encargo) del Responsable del tratamiento.
- Corresponsable del tratamiento: empresa que determina los fines y los medios del tratamiento conjuntamente con otros Responsables del tratamiento.
- Destinatario de datos: empresa a la que cedemos o transmitimos datos personales para tratarlos por su cuenta.
- Sin permiso de acceso a datos: empresa que puede acceder a datos personales de manera accidental o fortuita, sin permiso expreso del Responsable del tratamiento.
Encargado del tratamiento
El Encargado del tratamiento, al tratar datos por cuenta del Responsable, deberá ofrecer suficientes garantías para implementar las políticas técnico-organizativas que exige el GDPR.
También deberá formalizar un contrato con el Responsable del tratamiento para determinar sus funciones y el compromiso de confidencialidad exigido tanto con el personal como en posibles subcontrataciones autorizadas a otras empresas externas.
Ejemplos: Asesorías laborales, fiscales o contables; Prevención de riesgos laborales; Mantenimiento de equipos y aplicaciones informáticas; Copias de seguridad externas; Seguridad o videovigilancia; Destrucción de documentos; Servicios jurídicos; Cualquier empresa de servicios que, para realizarlos, requiera el acceso a datos personales del Responsable; etc.
Corresponsable del tratamiento
Cada Corresponsable del tratamiento asumirá las funciones que se le asignen mediante un acuerdo con los otros Corresponsables que, conjuntamente, determinen los fines y los medios del tratamiento, y en particular deberán establecer las responsabilidades de cada uno respecto al Reglamento y los procedimientos y mecanismos para el ejercicio de los derechos de los interesados. Los aspectos esenciales este acuerdo deberán ponerse a disposición de los interesados.
Ejemplos: Grupos de empresas, organizaciones, etc.; Sociedades empresariales; Fundaciones dependientes de otras organizaciones; Empresas públicas dependientes de un Organismo público; Cualquier Encargado de tratamiento que determine los fines o los medios de tratamiento por su cuenta; etc.
Destinatario de datos
Los Destinatarios de datos, al tratar los datos por su cuenta, se convertirán en Responsables del tratamiento y deberán cumplir la normativa de protección de datos como tales.
Cuando la cesión o transmisión de datos no esté regulada por ley, deberán formalizar un contrato con el Responsable del tratamiento que exponga que la cesión es lícita, sea porque se ha obtenido el consentimiento de los titulares de los datos (interesados), o porque lo permite la legislación vigente.
Ejemplos: Aseguradoras; Mutuas de accidentes profesionales; Vigilancia de la salud; Subcontratas de empleados; Cualquier empresa que no haya obtenido los datos directamente del interesado (que les han sido transmitidos por otra empresa) y facture directamente al interesado; etc.
Sin permiso de acceso a datos
Las empresas sin permiso de acceso a datos no están autorizadas a tratar datos, por lo que será el Responsable del tratamiento quien analice los riesgos que puedan existir al realizar el servicio que haya contratado.
En el caso de determinar que existen riesgos, deberá formalizar un contrato donde se especifique que no tiene permiso para acceder a los datos personales y que se compromete a establecer acuerdos de confidencialidad con el personal que presta los servicios en la empresa, por si, en el ejercicio de su trabajo, accedieran de manera accidental o fortuita a datos personales.
Ejemplos: Servicios de limpieza; Extintores; Mantenimiento de instalaciones; Electricistas; Fontaneros; Pintores; etc.
Seguimiento del curso Experto en el GDPR
Tema anterior: 6. La responsabilidad del tratamiento Tema siguiente: 8. El Encargado del tratamiento
Información relacionada