O tra persona (física o jurídica o cualquier otro organismo) ¿puede tratar datos personales en nombre de mi empresa? Sí. siempre que exista un contrato u otro acto jurídico.
Es importante que el encargado de tratamiento que se designe ofrezca garantías suficientes en cuanto a la aplicación de medidas técnicas y organizativas apropiadas.
También, si no lo más importante, para asegurar que el tratamiento se ajustará a las normas del Reglamento general de protección de datos (RGPD) LOPDGDD y para garantizar la protección de los derechos de las personas.
El encargado designado no puede designar posteriormente a otro encargado sin su autorización previa específica o general por escrito. Por tanto no puede tratar datos personales en nombre de mi empresa.
El contrato o acto jurídico entre usted y el encargado deberá incluir cláusulas como las siguientes:
- el tratamiento únicamente puede realizarse siguiendo instrucciones documentadas del responsable,
- el encargado garantiza que las personas autorizadas para tratar los datos personales se han comprometido a respetar la confidencialidad o están sujetas a una obligación de confidencialidad de naturaleza estatutaria,
- el encargado debe ofrecer un nivel de seguridad mínimo definido por el responsable,
- el encargado debe asistirle a fin de garantizar el cumplimiento del RGPD.
Ejemplos aclaratorios
Una empresa de construcción utiliza a un subcontratista para determinadas obras, al que facilita la información de contacto de los clientes cuando debe realizar las obras.
El subcontratista utiliza, además, los datos para enviar material de mercadotecnia a los clientes. En este caso, el subcontratista no puede considerarse simplemente un «encargado» en virtud del RGPD, puesto que no trata los datos únicamente por cuenta de la empresa de construcción, sino también para sus propios fines.
El subcontratista actúa, por tanto, como «responsable del tratamiento».
¿Puede el proveedor cloud tratar datos personales en nombre de mi empresa ?
Usted es una empresa minorista que decide conservar una versión de seguridad de la base de datos de sus clientes en un servidor en la nube.
A este fin, firma un contrato con un proveedor de servicios en la nube conocido por sus normas de protección de datos y que cuenta también con un sistema certificado de cifrado de datos.
El proveedor de la nube es su encargado del tratamiento, porque, al conservar los datos personales de sus clientes en los servidores, estará tratando los datos personales por su cuenta.
Referencias útiles
- Artículo 28.
- El considerando 81 del RGPD nos dice.
Para garantizar el cumplimiento de las disposiciones del Reglamento RGPD/ LOPDGDD respecto del tratamiento que lleve a cabo el encargado por cuenta del responsable, este al encomendar actividades de tratamiento a un encargado, debe recurrir únicamente a encargados que ofrezcan suficientes garantías.
En particular en lo que respecta a conocimientos especializados, fiabilidad y recursos, de cara a la aplicación de medidas técnicas y organizativas que cumplan los requisitos del presente Reglamento RGPD/ LOPDGDD incluida la seguridad del tratamiento.
La adhesión del encargado a un código de conducta aprobado o a un mecanismo de certificación aprobado puede servir de elemento para demostrar el cumplimiento de las obligaciones por parte del responsable.
¿Puede el encargado tratar datos personales en nombre de mi empresa, como responsable ?
El tratamiento por un encargado debe regirse por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros que vincule al encargado con el responsable-
Entre otras cuestiones, que fije el objeto y la duración del tratamiento, la naturaleza y fines del tratamiento, el tipo de datos personales y las categorías de interesados, habida cuenta de las funciones y responsabilidades específicas del encargado en el contexto del tratamiento que ha de llevarse a cabo y del riesgo para los derechos y libertades del interesado.
El responsable y el encargado pueden optar por basarse en un contrato individual o en cláusulas contractuales tipo que adopte directamente la Comisión o que primero adopte una autoridad de control de conformidad con el mecanismo de coherencia y posteriormente la Comisión.
Una vez finalizado el tratamiento por cuenta del responsable, el encargado debe, a elección de aquel, devolver o suprimir los datos personales, salvo que el Derecho de la Unión o de los Estados miembros aplicable al encargado del tratamiento obligue a conservar los datos.