Encargado de tratamiento en el Reglamento Europeo

¿Cómo redacto un contrato con el encargado de tratamiento según el Reglamento Europeo de Protección de Datos?

La Agencia Española de Protección de Datos ha publicado hace poco un documento titulado DIRECTRICES PARA LA ELABORACIÓN DE CONTRATOS ENTRE RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO, basado en las novedades del nuevo Reglamento Europeo de Protección de Datos.

Según dicho Reglamento, se entiendo por Encargado de tratamiento, la persona física o jurídica, autoridad pública, servicio u otro organismo que presta un servicio al responsable de ficheros, y que conlleva tratamiento de datos personales por cuenta de dicho responsable.

Para distinguir cuándo hablamos de encargado de tratamiento y cuándo de responsable de ficheros, hay que tener en cuenta que el responsable es siempre quien decide sobre la finalidad y los usos de la información, y el encargado quien sigue sus instrucciones. Éste no puede nunca usar los datos para fines propios.

Es importante tener en cuenta que el Reglamento Europeo impone al responsable de ficheros un deber de diligencia en la elección del encargado de tratamiento que le ha de prestar servicios. No se puede elegir cualquier encargado, sino sólo aquel que cumple las medidas de seguridad reglamentarias y demás preceptos del referido reglamento.

Igualmente importante es la formalización de un contrato o acto jurídico entre el responsable y el encargado de tratamiento, que debe estar sujeto a una serie de parámetros.

Veamos cuáles son a continuación:

1º. El contrato debe contener las instrucciones del responsable al encargado del tratamiento: debe quedar totalmente claro en qué consiste el encargo.

2º. Deber de confidencialidad: habrá que definir cómo va a hacer posible el encargado de tratamiento, el secreto sobre el tratamiento de los datos que lleva a cabo, garantizando que su personal lo respetará.

3º. Medidas de seguridad: en el contrato se ha de recoger la obligación del encargado de adoptar todas las medidas de seguridad exigidas por el Reglamento.

4º. Subcontratación: el contrato regulará el régimen de subcontratación en caso de que se produzca.

5º. Derechos de los interesados: se ha de regular de qué manera el encargado de tratamiento asistirá al responsable en el cumplimiento de la obligación de responder a las solicitudes de derechos de acceso, rectificación, supresión, limitación, portabilidad, oposición…

6º. Colaboración en el cumplimiento de las obligaciones del responsable: el contrato establecerá la forma en que el encargado ayudará al responsable a garantizar el cumplimiento de las obligaciones sobre medidas de seguridad, notificación de violaciones, comunicación de las mismas a los afectados, realización de evaluaciones de impacto y realización de consultas previas.

7º. Destino de los datos al finalizar la prestación: el contrato establecerá cómo se han de tratar los datos una vez finalizado el encargo, y si por tanto, se destruirán o  se devolverán al responsable.

8º. Colaboración con el responsable para demostrar el cumplimiento: el contrato contendrá la obligación del encargado de poner a disposición del responsable toda la información precisa para demostrar el cumplimiento de las obligaciones reglamentarias.

En los anexos del documento de Directrices del que estamos hablando, se proporcionan modelos de contrato para firmar entre el responsable de tratamiento y el encargado.

Se pueden consultar aquí, pinchando en DIRECTRICES PARA LA ELABORACIÓN DE CONTRATOS ENTRE RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO:

http://www.agpd.es/portalwebAGPD/temas/reglamento/index-ides-idphp.php

Guía del Responsable de Tratamiento

Reglamento Europeo Protección Datos

La Agencia Española de Protección de Datos ha publicado hace poco una guía del Reglamento General de Protección de Datos (se refiere al europeo, claro está) para Responsables de tratamiento.

Se publica con la idea de ir preparando a los mismos para la plena aplicación de dicho Reglamento (que es una norma directamente aplicable y que supliría a la norma nacional), prevista para mayo de 2018.

La guía –entre otras- se puede consultar en la web oficial de la AEPD, aquí:

http://www.agpd.es/portalwebAGPD/temas/reglamento/index-ides-idphp.php

Si bien, como indica dicha guía, la norma europea tiene muchas similitudes con la actual normativa española, hay dos puntos importantísimos a tener en cuenta:

1º- El principio de responsabilidad proactiva: que es la necesidad de que el Responsable aplique medidas técnicas y organizativas apropiadas para garantizar y demostrar que el tratamiento de datos es conforme al Reglamento. Cada organización deberá analizar qué datos tratan, para qué lo hacen y qué tipo de tratamientos se les aplican. En función de eso, se decidirá qué medidas se deben aplicar. En definitiva, se exige una actitud consciente, diligente y proactiva por parte del responsable de tratamiento de datos de carácter personal.

2º. El enfoque de riesgo: Según el Reglamento Europeo, las medidas de seguridad a adoptar tendrán en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de la persona. Por tanto, cada organización aplicará unas medidas, según sus necesidades.

La Guía recoge las principales cuestiones (que no todas) a tener en cuenta por los responsables de tratamientos de datos.

Al final de la Guía, las organizaciones pueden hacer una serie de verificaciones para comprobar su mayor o menor grado de cumplimiento de la normativa.

Por lo demás, estos son los temas que se tratan en la misma:

1º. Bases de legitimación para el tratamiento de los datos.

2º. Transparencia e información a los interesados.

3º. Derechos (acceso, olvido…).

4º. Relaciones entre Responsable y Encargado de Tratamiento.

5º. Medidas de responsabilidad activa.

6º. Transferencias internacionales de datos.

7º. Tratamiento de datos de menores de edad.

Guía deber información

EL DEBER DE INFORMAR EN LA PRÁCTICA, SEGÚN LAS NOVEDADES DEL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS

Los artículos 13 y 14 del Reglamento Europeo de Protección de Datos (RGPD) regulan la obligación de información en materia de protección de datos. Recordemos que las personas que nos proporcionan información personal deben ser informadas sobre el destino de sus datos, la finalidad de la recogida, las posibles cesiones y sobre los derechos que las amparan.

Esta información debe proporcionarse por un medio eficaz y de forma que se pueda demostrar que la información ha sido facilitada.

Lo normal es que se haga por escrito.

El RGPD ha introducido una serie de novedades en este ámbito y con objeto de facilitar el cumplimiento de la normativa por parte de los responsables de ficheros, la Agencia Española de Protección de datos ha publicado en su web una GUÍA PARA EL CUMPLIMIENTO DEL DEBER DE INFORMAR (así como varias guías más), que puede ser consultada en su web en el siguiente enlace:

http://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2017/notas_prensa/news/2017_01_26_01-ides-idphp.php

Estos serían los extremos sobre los que habría que informar al titular de los datos:

  • La existencia del fichero o tratamiento, su finalidad y destinatarios.

  • El carácter obligatorio o no de la respuesta, así como de sus consecuencias.

  • La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

  • La identidad y datos de contacto del responsable del tratamiento.

  • Los datos de contacto del Delegado de Protección de Datos, en su caso.

  • La base jurídica o legitimación para el tratamiento.

  • El plazo o los criterios de conservación de la información.

  • La existencia de decisiones automatizadas o elaboración de perfiles.

  • La previsión de transferencias a Terceros Países.

  • El derecho a presentar una reclamación ante las Autoridades de Control.

Y además, en el caso de que los datos no se obtengan del propio interesado:

  • El origen de los datos.

  • Las categorías de los datos.

Teniendo en cuenta que se requieren más cuestiones que las que actualmente exige la LOPD, los responsables de ficheros tendrán que revisar sus clausulas informativas y ponerlas al día, y a ser posible, ya, como recomienda la Agencia Española de Protección de Datos, aunque la obligación no sea exigible hasta mayo de 2018.

La guía ofrece los modelos que deben utilizarse, y son de estructura muy similar a las tablas sobre información nutricional de los alimentos. La idea es que la persona, de un solo vistazo, pueda tener toda la información necesaria.