¿Cómo deben trabajar los responsables y encargados del tratamiento de datos según el RGPD?
Con el Reglamento General de Protección de Datos llega una nueva normativa que todos los que trabajamos con datos de personas y empresas debemos conocer. Hoy vamos a detenernos en los aspectos del RGPD que nos influyen a las personas que nos dedicamos a la gestión documental.
El 25 de mayo comienza a aplicarse la nueva normativa. Seguramente hayas recibido un montón de correos electrónicos pidiéndote que vuelvas a dar tu consentimiento. Y eso es porque las cosas han cambiado, tal y como te explicamos en este post.
¿Qué cambios se aplican en el RGPD en las figuras del Responsable y el Encargado?
El nuevo Reglamento General de Protección de Datos aplica 3 novedades que deben tener en cuenta el responsable y el encargado del tratamiento de los datos.
1 – Los encargados tienen unas obligaciones específicas
Hasta ahora, aplicando la Directiva 95/46 y las leyes generales, solo se centraba la atención en la figura del responsable. Pero el RGPD cambia esto, y los responsables del tratamiento de datos pasan a tener unas obligaciones expresas – eso sí, la responsabilidad última sobre el tratamiento de datos sigue en poder del responsable -.
Con el nuevo reglamento en la mano, los encargados del tratamiento de datos deben mantener el registro de las actividades del tratamiento, determinar las medidas de seguridad específicas para cada tratamiento que realicen y designar a un Delegado de Protección de Datos en los casos previstos por el RGPD. También pueden sumarse a los códigos de conducta o aún mejor, obtener una certificación de las previstas en el RGPD.
2 – La elección del encargado, más específica
El responsable debe elegir a los encargados del tratamiento de datos de manera que éstos puedan demostrar que trabajan conforme al RGPD. Solo se podrán elegir encargados que ofrezcan garantías de aplicar las medidas técnicas y de organización de acuerdo al Reglamento. A su vez, los encargados también podrán designar a otras personas – subencargados – siempre y cuando puedan demostrar que se ajustan a la normativa.
3 – El contrato entre responsable y encargado
Según indica el RGPD, la relación entre responsable y encargado debe formalizarse mediante un contrato. En el texto se señala cuáles son los mínimos de ese documento, y además, la Agencia Española de Protección de Datos ofrece un documento con las directrices a seguir (puedes consultarlo aquí). En el contrato se debe indicar:
- El objeto, duración, naturaleza y finalidad del tratamiento
- El tipo de datos personales y categorías de los interesados
- La obligación que adquiere el encargado de tratar los datos según indica el responsable
- Cómo se harán las subcontrataciones y de qué forma el responsable dará su visto bueno a las mismas
- Si los interesados quieren ejercer algún derecho sobre sus datos, el encargado deberá facilitar asistencia al responsable siempre que le sea posible.
Además, el RGPD también señala que los contratos celebrados antes de su puesta en marcha deberán modificarse para adecuarse a la nueva normativa. No es válido, en ningún caso, remitir al artículo que lo regula de manera genérica.
Una ley que todos debemos tener muy presente. no se puede tomar a risa. Es super importante tenerlo todo en orden