Contrato

Responsabilidad proactiva de la Organización con sus proveedores-encargados de tratamiento

¿Es tu organización responsable proactiva respecto a sus proveedores?

Al contratar servicios para nuestra organización, como correo electrónico, alojamiento en la nube, asesorías fiscales y laborales… comunicamos datos de carácter personal de los que somos responsables, y nuestros proveedores son Encargados de Tratamiento de esos datos.

¿Conoces los riesgos?

Uno de ellos:  las sanciones. Recientemente la Agencia Española de Protección de Datos (AEPD) ha impuesto a Vodafone una sanción de 100.000 euros, por no ser responsable proactiva y no controlar a un proveedor, incumpliendo de esta manera, lo establecido en la normativa de Protección de Datos (PD) Reglamento Europeo (RGPD) y Ley Orgánica de PD y Garantía de los Derechos Digitales (LOPDGDD), te hablamos precisamente de ello.

¿Qué significa que una organización sea responsable proactiva del tratamiento de sus datos (de clientes, contactos, trabajadores…)?

Que debe actuar de forma diligente, consciente, activa, garantizando la aplicación de la normativa y la protección de los derechos de los interesados, así como ser capaz de demostrarlo.

¿Cómo debemos ser Responsables Proactivos?

La organización para ser responsable proactiva a la hora de contratar un proveedor que acceda a sus datos, es decir, como encargado de tratamiento, debe de tener en cuenta las siguientes directrices básicas:

  • Elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos de la normativa vigente y garantice la protección de los derechos del interesado.
  • Las garantías ofrecidas por el proveedor-encargado – no se agotan en la actuación previa de selección y contratación de encargado de tratamiento. El control del cumplimiento de la legalidad se extiende durante todo el tratamiento, desde el principio hasta el final. Esto obliga a la organización a evaluar en todo momento durante la ejecución del contrato las garantías (técnicas u organizativas) ofrecidas.

¿Qué obligaciones tiene que garantizar el encargado del tratamiento de datos?

Organizativas:

  • Debe manejar los datos personales de acuerdo a las instrucciones proporcionadas por el responsable, a través de un contrato firmado por ambas partes, de manera confidencial, en el tiempo y la forma oportunos.
  • Utilizará los datos de carácter personal a los que pueda acceder única y exclusivamente para satisfacer sus obligaciones contractuales.
  • No podrá usar los datos con fines diferentes a los indicados.

En medidas de seguridad

  • Se compromete a establecer una serie de medidas relativas a mantener íntegros los datos y que no se comuniquen a externos sin consentimiento
  • Garantizará que las personas autorizadas para tratar los datos se hayan comprometido a respetar la confidencialidad.
  • Además, deberá:
  • Destruir o restituir al responsable del fichero los datos de carácter personal, así como los soportes que lo contengan, dando fe por escrito de dicha devolución o destrucción.
  • Conservar, debidamente bloqueados, los datos en tanto pudieran dar lugar a responsabilidades de su relación con el responsable del tratamiento.

De asistencia al responsable, de establecerse una colaboración entre las 2 figuras, así:

  • El proveedor- encargado de tratamiento debe asistir al responsable, para que este pueda cumplir con su obligación de responder a las solicitudes de Derechos Acceso, rectificación, cancelación, oposición, portabilidad, limitación de acceso y demás derechos digitales.
  • Cooperará y se coordinará con el responsable, en el caso de que se produzcan brechas de seguridad.

Por último, el encargado pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el contrato, permitirá y contribuirá la realización de:

  • auditorías
  • inspecciones

En conclusión:  La normativa de protección de datos, obliga a todo tipo de organizaciones como responsables proactivas de sus datos personales, a seleccionar y contratar sólo a los proveedores que ofrezcan garantías adecuadas a la normativa de protección de datos, a través de la firma de un contrato cuando prestan servicios que conllevan acceso a datos de carácter personal de las mismas.

En caso de incumplimiento, calificado por este motivo por el RGPD como grave, la organización asume el riesgo de que la sanción que puede imponer la AEPD, sea de un máximo de 10.000.000 € o un 2% del volumen máximo de negocio total anual.  

Asumir la responsabilidad proactiva de la organización en materia de protección de datos supone garantizar el cumplimiento de la normativa y poder demostrarlo, es importante ser proactivo, no sólo para evitar sanciones sino por ofrecer garantías y confianza a nuestros usuarios.

“Legalízate, y da un paso adelante”

 

 

Contrato

Compartir:

Share on facebook
Share on twitter
Share on linkedin
Share on email
Share on whatsapp