El responsable del tratamiento exigirá al encargado que pruebe sus garantías
La transferencia fuera de la UE no podrá rebajar el nivel de protección
La empresa que contrate o encargue a otra el tratamiento de datos deberá asegurarse de que ésta tiene las medidas técnicas y organizativas adecuadas para garantizar los niveles de seguridad y la protección de los derechos exigidos por el Reglamento General de Protección de Datos (RGPD). Unas garantías que podrán demostrarse a través de certificados de protección de datos o la adhesión a códigos de conducta.
Así lo determinan las Directrices del Grupo de Trabajo del Artículo 29 -foro que integra a las autoridades nacionales y europeas de privacidad- que ofrecen las pautas sobre el contenido y la forma que debe tener el contrato entre el responsable del tratamiento -la empresa u organización contratante- y el encargado del mismo -la empresa contratada-.
El documento, difundido por la Agencia Española de Protección de Datos (AEPD), se encuadra dentro de los materiales que se están poniendo a disposición de las empresas de cara a la entrada en vigor del RGPD en mayo de 2018, y que supone una revolución en la concepción de la privacidad.
De acuerdo con el mismo, el responsable del tratamiento debe exigir al encargado «garantías suficientes» en relación a «conocimientos especializados, fiabilidad y recursos» que le permitan cumplir con todos los requisitos del procesamiento de datos, especialmente las medidas de seguridad.
La relación entre el responsable y el encargado deberá formalizarse a través de un contrato o un acto jurídico similar que, en todo caso, debe constar por escrito y en formato electrónico.
Una de las novedades que introduce el RGPD es que dicha relación también puede regularse a través de un acto jurídico unilateral del responsable del tratamiento, como es el caso de una resolución administrativa.
Informar a los interesados
A pesar de que la normativa no impone al responsable el deber de informar a los interesados de la contratación de un encargo del tratamiento, las Directrices sí recomiendan que en determinadas circunstancias -por ejemplo, en función de la naturaleza del tratamiento o de los datos tratados- sí se produzca tal comunicación «para una mayor transparencia».
El encargo del tratamiento, en cualquier caso, no traspasa la responsabilidad del correcto procesamiento de datos y del respeto a los derechos de los interesados. Según especifica el documento, el responsable no pierde esa consideración en ningún caso.
Asimismo, el contrato no podrá emplearse como un mecanismo para rebajar las exigencias y los estándares de seguridad que impone el Reglamento por la vía de contratar un encargado de un país fuera de la UE. El texto precisa que en estos contratos deberán mantenerse los niveles de protección que garantiza la norma.
(Noticia extraída de El Economista)