Mi abogado me acaba de mandar un contrato que se supone he de hacer firmar, según creo haber entendido, a empresas que sean encargadas de tratamiento de los datos que les paso, y se supone yo soy un responsable de tratamiento.
Me puede alguien explicar la diferencia entre responsable de tratamiento y encargado de tratamiento de datos?
gracias!!
Apreciado Leonardo,
En primer lugar te invito a leer este resumen de las obligaciones que el Reglamento General de Protección de Datos (RGPD) impone a partir del 25/05/2018 a todas las empresas y personas físicas que de alguna manera gestionan datos de carácter personal en el ámbito empresarial.
En cuanto a tu pregunta sobre la diferencia entre el responsable y los encargados de tratamiento de datos, a continuación te haré un breve resumen. Si quieres ver como aplicamos en Futur Finances la protección de los datos de nuestros usuarios y clientes, mira esta url.
Tu empresa es el responsable de tratamiento, ya que eres la persona física o jurídica que decide sobre el tratamiento de los datos; qué se va hacer con ellos, si se van a conservar, se van a ceder o se van a eliminar.
Las gestorías fiscales, contables, abogados, economistas, y cualquier empresa a la que cedas datos de tus clientes, empleados, proveedores o usuarios personas físicas, tratando sus datos de alguna manera (el tratamiento de datos es cualquier operación o procedimiento técnico, sea o no automatizado, que implique la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, bloqueo, modificación, o cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias) son encargados de tratamiento.
En el contrato que has de hacer firmar a los encargados de tratamiento, entre otras cosas, debes relacionar las siguientes obligaciones:
- Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.
- Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento (tu).
- Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable.
- No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. Si el encargado quiere subcontratar tiene que informar al responsable y solicitar su autorización previa.
- Mantener el deber de secreto respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice el contrato.
- Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.
- Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.
- Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.
- Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento y portabilidad de datos ante el encargado de tratamiento, éste debe comunicarlo por correo electrónico a la dirección que indique el responsable. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.
- Notificación de violaciones de la seguridad de los datos.
Si bien no lo has pedido, quiero definirte algunos términos relacionados:
Un dato de carácter personal es cualquier información numérica (por ejemplo un teléfono), alfanumérica (DNI), alfabética (su nombre y apellidos), gráfica, fotográfica, acústica o de cualquier otro tipo de una persona física identificada o identificable (previa averiguación necesaria, sin un coste y esfuerzo desproporcionados).
Por otro lado, un fichero de datos de carácter personal es todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados. Una carpeta con documentación clasificada, una agenda o un programa tipo Excel pueden ser ficheros de datos.
Espero haberte aclarado algunos conceptos muy importantes de la protección de datos.
Comentarios recientes