Autor: Eric Gracia. Abogado en Derecho.com
Desde la entrada en vigor del RGPD, muchas empresas piensan que si su proveedor con acceso a datos personales (encargado del tratamiento) incumple la normativa de protección de datos al prestar el servicio, ellas mismas van a tener que asumir siempre algún tipo de responsabilidad por ello.
Pues bien, recientemente se ha publicado una Resolución de la Agencia Española de Protección de Datos en la que se sanciona con 60.000 euros al encargado del tratamiento, pero no se toma ninguna medida contra el responsable del tratamiento que le contrató.
Estos desenlaces son posibles siempre que se hayan tomado determinadas precauciones frente al proveedor, destacando las siguientes:
- Ser diligente a la hora de elegir al encargado del tratamiento (Art. 28.1 RGPD):
Cuando un tratamiento se va a llevar a cabo por cuenta del responsable del
tratamiento, lo primero que hace el RGPD es trasladar a éste la obligación de seleccionar únicamente a encargados del tratamiento que ofrezcan garantías suficientes, tal y como queda establecido por medio de su artículo 28.1:
“Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado. ”
En este sentido, el Considerando nº81 del RGPD precisa que para determinar si el encargado del tratamiento ofrece garantías suficientes deberán tenerse en cuenta sus conocimientos especializados, fiabilidad y recursos, de cara a la aplicación de medidas técnicas y organizativas que cumplan los requisitos del RGPD, incluida la seguridad del tratamiento. A mayor abundamiento, la adhesión del encargado del tratamiento a un código de conducta aprobado o a un mecanismo de certificación aprobado puede servir de elemento para demostrar el cumplimiento de las obligaciones por parte del responsable del tratamiento.
- Formalizar el contrato de tratamiento de datos por cuenta de tercero (Art. 28.3 RGPD):
Una vez seleccionado el encargado del tratamiento, el artículo 28.3 del RGPD establece que el responsable del tratamiento debe formalizar con él un contrato escrito que contenga el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable del tratamiento y del encargado del tratamiento.
Este punto es muy importante ya que el Encargado del tratamiento sólo puede tratar los datos personales siguiendo las instrucciones documentadas del Responsable del tratamiento. El artículo 28.10 del RGPD especifica que si el encargado del tratamiento infringe el RGPD al determinar los fines y medios del tratamiento, será considerado responsable del tratamiento con respecto a dicho tratamiento.
_____________________________________________________
Si necesitas asistencia legal sobre éste u otros asuntos, puedes contactar con nosotros llamando al 902 01 44 02 o bien escribiéndonos a legal@derecho.com
Disculpa, debes iniciar sesión para escribir un comentario.