IMPORTANTE

Encargar el tratamiento de datos a un tercero sin la formalización de un contrato de acceso a datos es una infracción grave.

La entrada Tecnológica sancionada por no cumplimentar el contrato de acceso a datos con terceros se publicó primero en Adaptación RGPD.

La empresa o entidad responsable del tratamiento está obligada por norma a elegir únicamente a los encargados más diligentes. Es decir, aquellos que le ofrezcan garantías suficientes de que van a aplicar las medidas técnicas y organizativas apropiadas, para cumplir con los requisitos del RGPD y garanticen la protección de los derechos del interesado.

El encargado de tratamiento solamente podrá tratar los datos personales que pone a su disposición el responsable cuando se haya celebrado el contrato de acceso a datos. Este contrato que está regulado en el artículo 28 del RGPD contiene las instrucciones mínimas documentadas que ha de seguir el encargado de tratamiento.

El encargado del tratamiento no podrá subcontratar con otro encargado los servicios que presta al responsable del tratamiento sin la autorización previa por escrito, específica o general del responsable. En el caso de que recurra a otro encargado se le imponen las mismas obligaciones de protección de datos.

IMPORTANTE

Tendrá la consideración de responsable del tratamiento y no la de encargado quién en su propio nombre establezca relaciones con los interesados aún cuando exista un contrato de acceso a datos.

La entrada El rol del encargado de tratamiento (II) se publicó primero en Adaptación RGPD.

La reclamación fue interpuesta por una potencial cliente de la suministradora de luz y gas a la que mediante una venta telefónica le ofrecieron un contrato, que finalmente canceló a los pocos días.

La venta final no fue realizada por la compañía suministradora de luz y gas ni por su encargada de tratamiento, sino por otra empresa tercera que actuaba de subencargada sin haber celebrado ningún contrato de acceso a datos y sin haberlo comunicado a la compañía en virtud de la cual se estaban tratando los datos.

En el contrato de acceso a datos que la compañía suministradora de luz y gas tenía regulado con su encargado de tratamiento se prohibía recurrir a la subcontratación, y en el caso de que fuera necesaria, se debería solicitar una autorización con una antelación mínima de un mes.

La AEPD desestima el recurso de reposición sancionando al encargado del tratamiento con una multa de 10.000€ por no haber comunicado la subcontratación a la compañía suministradora de luz y gas.

IMPORTANTE

Se considera una infracción grave la contratación por un encargado de tratamiento de otros encargados sin contar con la autorización previa del responsable.

La entrada Sancionado un encargado de tratamiento por no regular un contrato de acceso a datos con un sub-encargado se publicó primero en Adaptación RGPD.

Estas figuras ya tenían un encaje bien definido en la normativa de protección de datos anterior cuando se hablaba de Responsable del Fichero y Encargado del Tratamiento. Sin embargo, el RGPD les otorga una nueva denominación.

El Responsable del Tratamiento es la persona física o jurídica, pública o privada, que determina los fines y los medios del tratamiento de los datos personales. Es decir, el Responsable del Tratamiento decide para qué se van a utilizar los datos y cómo se van a obtener, almacenar, proteger y eliminar. El Responsable del Tratamiento es el responsable de cumplir con los principios y los derechos del RGPD, así como de informar y obtener el consentimiento de los interesados.

El Encargado del Tratamiento es la persona física o jurídica, pública o privada, que trata los datos personales por cuenta del Responsable del Tratamiento. Es decir, el Encargado del Tratamiento realiza las operaciones técnicas y organizativas necesarias para llevar a cabo el tratamiento de los datos según las instrucciones del Responsable del Tratamiento. El Encargado del Tratamiento debe garantizar la seguridad y la confidencialidad de los datos, así como notificar al Responsable del Tratamiento cualquier incidencia o violación que afecte a los datos.

El RGPD se aplica a todos los Responsable del Tratamientos y Encargado del Tratamientos que traten datos personales de ciudadanos de la Unión Europea, independientemente de su ubicación geográfica o del lugar donde se realice el tratamiento. Esto implica que las empresas que ofrezcan bienes o servicios a los ciudadanos de la Unión Europea o que monitoricen su comportamiento deben cumplir con el RGPD, aunque no tengan sede en la Unión Europea.

El RGPD establece una serie de obligaciones y responsabilidades para los Responsable del Tratamientos y los Encargado del Tratamientos, entre las que se destacan las siguientes:

– Los Responsable del Tratamientos deben llevar un registro de las actividades de tratamiento que realizan, así como realizar una evaluación de impacto cuando el tratamiento pueda suponer un riesgo alto para los derechos y libertades de los interesados.
– Los Responsable del Tratamientos deben designar un Delegado de Protección de Datos (DPO) cuando el tratamiento sea realizado por una autoridad u organismo público, cuando las actividades principales del Responsable del Tratamiento consistan en tratamientos que requieran una observación habitual y sistemática de los interesados a gran escala o cuando las actividades principales del Responsable del Tratamiento consistan en el tratamiento a gran escala de categorías especiales de datos personales o de datos relativos a condenas e infracciones penales.
– Los Responsable del Tratamientos deben informar a los interesados sobre el tratamiento de sus datos personales, así como obtener su consentimiento expreso y específico cuando sea necesario. Los interesados tienen derecho a acceder, rectificar, suprimir, limitar, oponerse y portar sus datos personales.
– Los Responsable del Tratamientos deben notificar a la autoridad competente y a los interesados cualquier violación de seguridad que afecte a los datos personales en un plazo máximo de 72 horas desde que tengan conocimiento de la misma.
– Los Encargado del Tratamientos deben llevar un registro de todas las categorías de actividades de tratamiento que realicen por cuenta del Responsable del Tratamiento.
– Los Encargado del Tratamientos deben designar un Delegado de Protección de Datos (DPO) cuando se den las mismas circunstancias que para los Responsable del Tratamientos.
– Los Encargado del Tratamientos deben informar al Responsable del Tratamiento sin dilación indebida cuando detecten una violación de seguridad que afecte a los datos personales.
– Los Encargado del Tratamientos deben suscribir un contrato o un acto jurídico vinculante con el Responsable del Tratamiento que establezca las condiciones del tratamiento, las garantías de seguridad y confidencialidad, las obligaciones y responsabilidades de ambas partes y los derechos del Responsable del Tratamiento para supervisar el cumplimiento del RGPD por parte del Encargado del Tratamiento.

El RGPD otorga a las autoridades competentes la potestad para imponer sanciones administrativas a los Responsable del Tratamientos y a los Encargado del Tratamientos que incumplan sus disposiciones. Estas sanciones pueden alcanzar hasta el 4% del volumen de negocio anual global o 20 millones de euros, el importe más alto.

En conclusión, el RGPD introduce dos figuras fundamentales para regular el tratamiento de los datos personales: el Responsable del Tratamiento y el Encargado del Tratamiento. Ambas figuras tienen unas obligaciones y responsabilidades concretas dentro del marco de la RGPD.

La entrada Responsable del Tratamiento y el Encargado del Tratamiento en el RGPD se publicó primero en Adaptación RGPD.

En la normativa de protección de datos existen varios artículos que regulan y determinan las funciones del encargado del tratamiento. En concreto, nuestra LOPDGDD, en el artículo 33, indica que, cuando el encargado utilice para su propia finalidad los datos facilitados por el responsable por cuenta de quién actúa, tendrá la consideración de responsable. Esto significa que se le podrán aplicar las mismas cuantiosas sanciones que al responsable del tratamiento.

El contrato de acceso a datos, es el nombre que le damos al contrato celebrado entre el responsable del tratamiento y el encargado. Su contenido íntegro se encuentra regulado en el artículo 28.3 del RGPD. En él se deben indicar, entre otros aspectos, la duración, la naturaleza, la finalidad del tratamiento, el tipo de datos personales y categorías de interesados y las obligaciones y derechos del responsable. La falta de este contrato supone una falta grave.

IMPORTANTE

El encargado del tratamiento seguirá las instrucciones del responsable incluidas aquellas referidas a las transferencias internacionales.

La entrada Roles en la protección de datos: el encargado de tratamiento se publicó primero en Adaptación RGPD.

• La oferta de bienes o servicios a dichos interesados en la Unión, aunque no se requiera pago por ellos.
• El control de su comportamiento, cuando tiene lugar en la Unión Europea.

¿Cómo se regula la relación con ese representante? Lo primero que se tiene que determinar es la ubicación del representante. Este tiene que estar establecido en uno de los Estados miembros en que se encuentren los interesados sobre los que se realizan las actividades anteriores. Además, debe ser designado expresamente por mandato escrito para que actúe en nombre del responsable o encargado, respecto de todas las obligaciones que les son exigidas en la normativa de protección de datos.

Al representante se le puede encomendar que atienda junto al responsable o encargado del tratamiento las consultas, o bien que lo haga en su lugar.

Las autoridades de control le podrán imponer las medidas establecidas en el RGPD, así como sancionarle de forma solidaria junto con el responsable o encargado del tratamiento.

IMPORTANTE

En las cláusulas legales informativas se tiene que indicar quién es el representante del responsable o encargado.

La entrada ¿Cómo regula el responsable o encargado del tratamiento internacional la relación con su representante en la UE? se publicó primero en Adaptación RGPD.

En este caso, el interés legitimo será la legitimación adecuada para disponer del uso de una base de datos de contacto, de empresarios individuales y de profesionales liberales que prestan servicios en una persona jurídica.

¿Cuáles son los requisitos para su tratamiento? En primer lugar, que los datos se refieran solo a aquellos necesarios para su localización profesional y, en segundo lugar, que la finalidad sea para mantener una comunicación de cualquier índole con la persona jurídica en la que el afectado presta sus servicios.

Cuando el tratamiento se realice sobre los datos de empresarios individuales y profesionales liberales se aplicarán los mismos requisitos. En este caso, no se utilizarán para entablar una relación con los mismos como personas físicas.

Las administraciones públicas los tratarán en base a una obligación legal o para ejercer sus competencias.

IMPORTANTE

El interés legitimo perseguido por el responsable será lícito siempre y cuando no prevalezcan los intereses o derechos del interesado.

La entrada El tratamiento de los datos de contacto de profesionales se publicó primero en Adaptación RGPD.

En el art.4 del RGPD se define al responsable del tratamiento, como aquella persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determina los fines y medios del tratamiento. Por otro lado, el encargado es aquella persona física o jurídica, autoridad pública, servicio u otro organismo que trata datos personales siguiendo las instrucciones del responsable.

En la LOPDGDD existe un apartado, denominado “disposiciones aplicables a tratamientos concretos”, en el cual, la normativa indica cómo tienen que actuar el responsable y encargado en relación con los datos personales y esos tratamientos.

En sucesivos boletines los iremos desarrollando:

1º Tratamiento datos de contacto de empresarios.

2º Sistemas de información crediticia.

3º Videovigilancia.

4º Sistemas de exclusión publicitaria.

5º Información de denuncias internas.

IMPORTANTE

Es obligatorio que el responsable y encargado de tratamiento tengan bien cumplimentado y actualizado el registro de actividades del tratamiento.

La entrada Responsable del tratamiento y encargado del tratamiento se publicó primero en Adaptación RGPD.

En este informe, lo primero que se analiza es la definición de dron. Con carácter genérico, se considera un vehículo aéreo de distintas categorías y capacidades variables que pueden incorporar, en su caso, sistemas de detección y equipos de radiofrecuencia. Según la AEPD lo relevante será el equipamiento de captación y el procesamiento de los datos personales de personas físicas lo que determine la aplicación de la legislación de protección de datos.

Los drones pueden realizar funciones de captación de imágenes para fines de videovigilancia, eventos deportivos, bodas, gestión de infraestructuras, etc. En todos estos supuestos se ha de cumplir con los principios esenciales de limitación de la finalidad, minimización de datos personales y licitud del tratamiento, es decir, que los datos sean recogidos de forma lícita atendiendo a toda la legislación y regulación propia relativa a los drones.

Los operadores de drones, en el ámbito de la normativa de protección de datos, operan como encargados del tratamiento, por lo que, además de cumplimentar un contrato de prestación de servicios, con sus propias características, deben regular el tratamiento de los datos personales con un contrato de acceso a datos.

IMPORTANTE

Se debe informar de la forma más apropiada posible y con carácter previo al uso de los drones. Indicando claramente quién es el responsable del tratamiento y las finalidades.

La entrada Qué implica la normativa de protección de datos a los operadores de drones. se publicó primero en Adaptación RGPD.

El RGPD lo que dispone es que, siempre y cuando esos incidentes de seguridad supongan un riesgo para los derechos y las libertades de las personas físicas, se tienen que notificar, a más tardar en el plazo de 72hrs desde su conocimiento. Aunque parezca que las brechas de seguridad solamente afecten a grandes empresas, estas pueden ocurrir en cualquier entidad independientemente de su tamaño.

En la guía de la AEPD sobre gestión y notificación de brechas de seguridad, a modo orientativo, encontramos en su anexo III un modelo que puede servir de referencia para tomar la decisión de notificar a la autoridad de control. El cálculo del posible riesgo se obtiene de tres parámetros: volumen, tipología de datos e impacto. Cada uno de ellos está valorado con un rango. Así, por ejemplo, en el caso de que el riesgo de valor cuantitativo esté en un umbral superior a 20 (más o menos) y coincidan dos circunstancias cualitativas, habría que notificarla a la autoridad.

IMPORTANTE

La comunicación se realizará presentando el formulario de notificación de incidentes de seguridad de datos personales. Se puede encontrar en la sede electrónica de la AEPD.

La entrada ¿Cuándo y cómo notificar las brechas de seguridad? (II) se publicó primero en Adaptación RGPD.