La respuesta de OptimumTIC a la COVID-19. Más información

Blog

¿Cómo deben regularse las relaciones entre el responsable y el encargado del tratamiento?

Publicado 12 de julio de 2022
¿Cómo deben regularse las relaciones entre el responsable y el encargado del tratamiento?

¿Cómo deben regularse las relaciones entre el responsable y el encargado del tratamiento?

El Reglamento General de Protección de Datos obliga a los responsables de tratamiento a cumplir con sus directrices.

Sin embargo, estas obligatoriedades también se extienden a todas aquellas terceras partes (encargados de tratamiento) que accedan a los datos personales de estas empresas u organizaciones. 

De acuerdo con la normativa, todos los responsables de tratamiento deberán asegurarse de que sus proveedores cumplen y además deberán monitorizarlo y documentarlo.

Pero ¿Cómo definimos a un responsable de tratamiento? El Responsable es la persona física o jurídica, autoridad, servicio u otro organismo que en el desarrollo de sus actividades trata datos de carácter personal. En definitiva, es aquél que posee o genera el dato.

Por otro lado, el encargado del tratamiento es la persona física o jurídica, autoridad, servicio u otro organismo que presta un servicio al responsable que conlleva el tratamiento de datos personales por cuenta de éste. 

Los tipos de encargado del tratamiento y las formas en que se regulará su relación pueden ser tan variados como los tipos de servicios que puedan suponer acceso a datos personales.

Así, podemos encontrar servicios cuyo objeto principal consistan en el tratamiento de datos personales y otros que tratan datos personales sólo como consecuencia de la actividad que presta por cuenta del responsable del tratamiento.

El Reglamento General de Protección de Datos exige, por lo tanto, un deber por parte de las empresas u organizaciones de contratar con diligencia a sus proveedores.

En este punto debemos tener en cuenta que corresponde al responsable decidir sobre la finalidad y los usos de la información, mientras que el encargado del tratamiento deberá de cumplir con las instrucciones de quien le encomienda un determinado servicio, respecto al correcto tratamiento de los datos personales a los que pueda tener acceso como consecuencia de la prestación de este servicio.

La regulación de la relación entre el responsable y el encargado del tratamiento debe establecerse a través de un contrato o de un acto jurídico similar que los vincule conocido como contrato de encargado de tratamiento o DPA, por sus siglas en inglés. 

Dicho contrato deberá establecer i definir la posición del encargado del tratamiento, las medidas técnicas y de seguridad que este deberá de llevar a cabo. 

Establecer de manera correspondiente este acuerdo formal entre responsable y encargado resulta de vital importancia, sobre todo para salvaguardar los datos y reputación de las organizaciones frente a posibles brechas de ciberseguridad y ataques, ya que por muchas medidas de seguridad internas que posean las organizaciones, si no se toman medidas con los terceros, será el responsable quien deberá de responder delante de cualquier brecha o sanción. 

De acuerdo con el RGPD, los contratos y acuerdos de encargo del tratamiento establecidos antes de 25 de mayo de 2018 mantienen su vigencia hasta la fecha de vencimiento señalada en los mismos. 

A modo de conclusión, debemos indicar que, tal y como hemos podido comprobar en el presente artículo, es de vital importancia por parte del responsable del tratamiento la elección de un encargado del tratamiento que ofrezca garantías suficientes respecto a la implantación y el mantenimiento de las medidas técnicas, organizativas y de seguridad apropiadas y que garantice la protección de los derechos de las personas afectadas. Existe, por tanto, un deber de diligencia “Due Diligence” en la elección del encargado.

Gracias a nuestro departamento de Privacy & Compliance, desde OptimumTIC asesoramos y acompañamos en la adecuación y cumplimiento normativo en materia de privacidad, así como en el asesoramiento de contratos tecnológicos, todo ello de manera transversal, teniendo en cuenta las medidas técnicas, legales y organizativas.  

En OptimumTIC analizamos y adaptamos todos los aspectos que el GDPR requiere: actualización de consentimientos y de formularios de la página web, revisión contractual con proveedores y la elaboración de políticas y normas internas que recojan las directrices que la organización adopta en cuanto a seguridad de la información y de los datos personales, entre otros aspectos relevantes.

Además, creemos en la formación a los empleados como una de las claves más importantes para mitigar posibles riesgos, puesto que la mayor parte de los incidentes de seguridad se producen por causas relacionadas con los trabajadores de la compañía.

Si desea más información sobre nuestros servicios o productos, puede contactar con nosotros sin compromiso a través de nuestra página web: www.optimumtic.com o escribiéndonos a info@optimumtic.com


OptimumTIC

OptimumTIC, Auditoria y Ciberseguridad al más alto nivel.

Siempre a la altura de nuestros clientes.

Contacta con nosotros

Plaça de Francesc Macià, 7
Barcelona 08029
Teléfono: 932 527 467
Email: info@optimumtic.com

Certificados en el Esquema Nacional de Seguridad

Certificados en el Esquema Nacional de Seguridad

Certificados en la ISO 27001

ISO 27001

Certificados en protocolo contra el covid-19

Protocolo contra el covid-19

Gestión Excelencia Empresarial

Gestión Excelencia Einforma

Empresa registrada en el INCIBE

Registrada en el INCIBE