Sencillo, porque no queremos ser sancionados por incumplimiento del artículo 28 del RGPD.
Hay bastantes casos en los que las empresas son sancionadas por tener contratado un proveedor (encargado de tratamiento), que no reúne las garantías exigidas en el artículo 28 del RGPD, uno de los casos más recientes. es el de Vodafone, que deja una clara evidencia de las posibles sanciones a las que nos arriesgamos por incumplir con el citado artículo.
Una infracción grave del articulo 28 le ha ocasionado a Vodafone una sanción de 4 millones de euros por no dejar constancia en los contratos con los encargados de tratamiento (proveedores) los cuales tratan los datos personales en nombre y por cuenta del responsable de tratamiento que en este caso es Vodafone, ya que no se garantiza la protección de los derechos y libertades de los interesados (usuarios)
La Agencia Española de Protección de Datos (AEPD) como garante que vela por el cumplimiento del RGPD y de la LOPD y GDD, insiste en la obligatoriedad de elegir un encargado de tratamiento que garantice la aplicación del reglamento general de protección de datos (RGPD) y los derechos y libertades de los interesados, obligando al responsable del tratamiento a verificar que las garantías técnicas u organizativas que ofrece el encargado de tratamiento son suficientes, esto es uno de los principios del RGPD responsabilidad o accountability.
El responsable del tratamiento podrá auditar y/o solicitar la verificación por cualquier medio que permita comprobar la idoneidad en la elección del encargado de tratamiento para velar por las garantías hacia los interesados.
¿Quién facilita el contrato de encargado de tratamiento? ¿El responsable al encargado o viceversa?
En la antigua LOPD 15/1999 era muy común que el responsable del tratamiento le diera al encargado un contrato en materia de protección de datos y éste lo firmaba y ya estaba regulada la relación.
Con el RGPD esto cambia un poco, si bien este contrato articulo 28 del RGPD lo deciden entre las partes y con el fin de tener una prueba más de que el encargado está cumpliendo con la normativa vigente en protección de datos, es más coherente que sea el prestador del servicio que proponga este contrato al responsable, ya que sabe bien cómo va a tratar esos datos, qué medidas de seguridad, técnicas y organizativas emplea, si sus empleados que accederán a esos datos están formados en materia de protección de datos, etc.. y el responsable decidirá si acepta esas medidas, si las refuerza o las rechaza y da indicaciones para poder realizar el encargo.
El Considerando 81 del RGPD prevé que el encargado del tratamiento debe ofrecer suficientes garantías en lo referente a conocimientos especializados, fiabilidad y recursos, con vistas a la aplicación de medidas técnicas y organizativas que cumplan los requisitos del Reglamento, incluida la seguridad del tratamiento.
Para demostrar que el encargado ofrece garantías suficientes, el RGPD prevé que la
adhesión a códigos de conducta o la posesión de un certificado de protección de datos
pueden servir como mecanismos de prueba.
Un contrato de según articulo 28 del RGPD debe tener como mínimo:
- LAS INSTRUCCIONES DEL RESPONSABLE DEL TRATAMIENTO
- EL DEBER DE CONFIDENCIALIDAD
- LAS MEDIDAS DE SEGURIDAD
- EL RÉGIMEN DE LA SUBCONTRATACIÓN
- LOS DERECHOS DE LOS INTERESADOS
- LA COLABORACIÓN EN EL CUMPLIMIENTO DE LAS OBLIGACIONES DEL RESPONSABLE
- EL DESTINO DE LOS DATOS AL FINALIZAR LA PRESTACIÓN
- LA COLABORACIÓN CON EL RESPONSABLE PARA DEMOSTRAR EL CUMPLIMIENTO
- COMO ACTUAR ANTE BRECHAS DE SEGURIDAD
La AEPD pone a disposición una guía para elaborar contratos entre responsables y encargados,
¿Y si tenemos proveedores sin acceso a datos pero que acceden a las instalaciones donde se tratan y almacenan datos?
En este caso no nos acogemos al art. 28 del RGPD, sino que se regulariza con un compromiso de confidencialidad.
Desde SpainCompliance podemos ayudarle con la elaboración de los contratos con sus proveedores o compromisos de confidencialidad para regular la relación contractual en materia de protección de datos.