A través del
presente comunicado queremos volver a recordarles uno de los
aspectos de mayor relevancia en el cumplimiento del Reglamento (EU)
2016/679 de Protección de datos personales (en adelante, RGPD).
Concretamente
nos referimos a las obligaciones que recaen en el Responsable y en el Encargado
con respecto a las relaciones comerciales mantenidas para la contratación
y prestación de servicios respectivamente y la necesidad de firmar un contrato
de encargo.
Pero, antes
de continuar, es importante tener claro el concepto jurídico de ambas figuras.
Estas definiciones las encontramos en el artículo 4 del RGPD:
- RESPONSABLE DEL TRATAMIENTO: es la persona física o jurídica,
autoridad pública, servicio u otro organismo que, solo o junto con otros, determine
los fines y medios del tratamiento
- ENCARGADO DEL TRATAMIENTO: es la persona
física o jurídica, autoridad pública, servicio u otro organismo que trate
datos personales por cuenta del responsable del tratamiento.
De la lectura
de estas definiciones concluimos que la principal diferencia entre una figura y
otra está en que el Responsable determina los fines y los medios del tratamiento
de los datos personales mientras que el encargado trata dichos datos siguiendo
las instrucciones del Responsable.
Como ejemplos de
Encargados de Tratamiento tenemos las empresas que
prestan el servicio de videovigilancia, las gestorías
fiscales, laborales y contables, las empresas de mantenimiento
informático de software, etc.
Debemos
mencionar, determinados casos en que, a priori, parecen encargados del
tratamiento, pero la propia AEPD se ha pronunciado al respecto indicando que no
son ET: son los casos de los auditores contables y las empresas de transporte
y mensajería, que no son Encargados de Tratamiento, sino responsables.
En el caso de los auditores contables se fundamenta en que estos actúan como
una figura autónoma y no reciben instrucciones de quién los contrata. En el
caso de las empresas de mensajería se fundamenta en que los datos que se
facilitan a la empresa se incorporan a su base de datos para realizar la
entrega al destinatario.
Ambas figuras deben quedar vinculadas jurídicamente a través de
un contrato o acto jurídico válido en Derecho. La forma
más habitual es el uso del Contrato, a través del cual se hará constar
todos los aspectos relativos a la relación mantenida como, por ejemplo: el
objeto del servicio prestado, las categorías de datos tratadas, los tipos de tratamientos
se van a llevar a cabo, la existencia de subcontrataciones, etc.
El Encargado no podrá subcontratar el
servicio a un tercero sin la autorización previa del responsable. El
responsable, actuando en base a sus obligaciones de diligencia
debida y con el objeto de salvaguardar los datos que están bajo su
responsabilidad, podrá oponerse a la subcontratación si concluye que dicha entidad no
cumple con las garantias adecuadas en materia de privacidad y protección de
datos. En caso de proceder con la subcontratación, la subcontrata
deberá disponer de un contrato o acto jurídico vinculante con las mismas obligaciones
que las estipuladas entre el Responsable y el Encargado. En
caso de incumplimiento por parte del subcontratado,
el Encargado será quién responderá.
Es importante saber que este contrato debe cumplir con una serie
de requisitos y contenido mínimo en cumplimiento de lo dispuesto en el Art. 28
del RGPD ya que, en
caso contrario, dicho contrato será nulo de pleno Derecho, es decir, no tendrá
validez jurídica y será como si nunca se hubiera celebrado.
En el caso de
encontrarnos con una comunicación de datos personales fuera del Espacio
Económico Europeo (UE, Islandia, Liechtenstein y Noruega) se debe
seguir garantizando el nivel de protección que establece el Reglamento.
Las transferencias internacionales podrán legitimarse en base a los siguientes supuestos:
- Transferencia basada en una
decisión de adecuación de la comisión.
- Normas corporativas vinculantes.
- Aportación de las garantías
adecuadas.
- Excepciones para situaciones
específicas.
- Autorización expresa de la
AEPD.
En este punto
debemos mencionar el caso de EEUU, con quién, hasta julio de 2020, se realizaban las transferencias internacionales de
datos en base al "Privacy Shield" hasta que
este fue invalidado. Esta herramienta jurídica no fue
sustituida por otra y, por tanto, dichas transferecnias internacionales estaban
en una situación de "vacio legal". Actualmente, la UE y EEUU han
alcanado un nuevo acuerdo para hacer una regulación que permita cumplir
con los estándares de privacidad recogidos en la normativa europea de
protección de datos.
Por otro lado, cuando nos
enfrentamos a tratamientos de datos a través de diversas tecnologías
como wearables, internet de las cosas, servidores externos, etc. o cuando se están
transmitiendo datos personales a territorios o países que no garantizan el
respeto a la privacidad o a la protección de los datos al nivel exigido por las
leyes de la Unión Europea, el escenario se torna más complejo requiriendo un
análisis más pormenorizado.
En la práctica se dan situaciones en las que puede resultar
complicado determinar las relaciones entre ambas partes, el rol que cada uno desempeña, así como el
grado de responsabilidad de cada uno llegando inclusive a suceder, en
determinados supuestos, que ambas partes pueden ser Responsables (corresponsabilidad)
del total de los tratamientos o solo sobre una parte de los mismos.
Por todo ello, es fundamental que cuentes con el asesoramiento de profesionales
expertos en materia de protección de datos. En PRODASUR somos consultores con una amplia trayectoria y experiencia
profesional en esta materia;
también disponemos de Certificación como Delegados de Protección de datos. Si
aún no cumples con esta normativa legal te animamos a que contactes con
nosotros.
Para tu tranquilidad ponemos a tu disposición a nuestros
consultores expertos quienes te darán todo el apoyo que necesites, te
facilitarán toda la documentación jurídica debidamente redactada de acuerdo a
tus necesidades específicas y te darán las pautas necesarias para que tengas
todo bajo control, cumplas debidamente con la normativa de protección de datos
y proyectes una imagen corporativa de compromiso con la privacidad de las personas
con las que te relacionas. NO
DUDES EN PEDIRNOS MÁS INFORMACIÓN.
