Servicios de protección de datos en Aranjuez

Compruébelo usted mismo, LLáMENOS 925 366 897

Muchas empresas de Aranjuez han confiado en Arcodatos como su consultora de referencia para atender sus necesidades de adecuación al Reglamento General de Protección de Datos (RGPD) y a la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPD-GDD).

¿Sabe qué es un encargado de tratamiento?

El “Encargado de Tratamiento” según el Reglamento General de Protección de datos es aquella persona física o jurídica, que trata datos personales por cuenta de un responsable del tratamiento, por ejemplo, cuando una empresa presta un servicio a otra y para ello es necesario que acceda a datos de carácter personal de los ficheros de esta última.

Un caso muy sencillo de entender es cuando un Asesor Laboral lleva la gestión de nóminas y contratos a una empresa, y para ello resulta necesario que la ésta envíe su fichero de personal al asesor, donde se incluirán datos de sus trabajadores. El asesor tratará datos de terceras personas con las que no tiene ningún vínculo directo, de manera que lo que ampara el tratamiento es la existencia de un contrato entre el Responsable y el Encargado, donde se delimitan las responsabilidades y obligaciones en materia de protección de datos que tiene cada una de las partes.

Otros posibles Encargados de Tratamiento son:

ASESORIAS FISCALES
GESTORÍAS
ADMINISTRADORES DE FINCAS
EMPRESAS DE MARKETING
EMPRESAS DE MANTENIMIENTO INFORMÁTICO
EMPRESAS DE PREVENCIÓN DE RIESGOS LABORALES
EMPRESAS DE VIDEOVIGILANCIA

Aunque exista una comunicación de datos entre empresas, como las que realiza el cliente con su asesoría, no se considera una cesión de datos en la que se requiera el consentimiento del interesado, sin embargo, debe de formalizarse el contrato antes mencionado que garantice la seguridad de los datos transmitidos.

¿Qué es el contrato de acceso de datos a terceros?

Para que una cesión de datos sea considerada “acceso a los datos por cuenta de terceros” tiene que estar fundamentada en la prestación de un servicio que debe estar formalizado en un contrato cuya forma, contenido y características se encuentran regulados en el artículo 28 del RGPD. El contrato deberá incluir entre otros aspectos:

  • Forma del contrato. Para que el contrato sea válido, deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido.
  • Tratamiento de los datos. El encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento.
  • Finalidad del tratamiento. En el contrato quedará reflejada la finalidad con la que se deben tratar los datos, y el encargado del tratamiento obligará a no utilizar los datos con otros fines.
  • Comunicación de datos. El encargado del tratamiento no comunicará los datos, ni siquiera para su conservación, a otras personas.
  • Medidas de seguridad. En el contrato se estipularán, asimismo, las medidas de seguridad que el encargado del tratamiento está obligado a implementar.
  • Finalización del servicio. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.
  • Consecuencias del incumplimiento del contrato. Si el encargado del tratamiento destina los datos a otra finalidad, los comunica o los utiliza incumpliendo las estipulaciones del contrato, será también considerado responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.

Infracciones y sanciones por incumplimiento de la firma del documento de cesión de datos a terceros

Cada figura deberá asumir su propia responsabilidad:

RESPONSABLE DEL TRATAMIENTO. Entregar los datos a un tercero para la prestación de un servicio sin observar las condiciones previstas en el art. 28 del RGPD supone estar efectuando una comunicación de datos que, si no se lleva a cabo en dichas condiciones, sería constitutivo de una infracción grave.

ENCARGADO DE TRATAMIENTO. Está obligado a tratar los datos siguiendo estrictamente las instrucciones del responsable del tratamiento en los términos y condiciones que se hayan estipulado contractualmente, debiendo tener en cuenta, qué se considerará responsable de tratamiento, si incumple las condiciones del contrato.

SUBCONTRATISTA. Debe tener en cuenta que, a pesar de estar subcontratado, también asume el papel de encargado de tratamiento, debiendo tratar los datos siguiendo estrictamente las condiciones del contrato de subcontratación de servicios, asumiendo que será considerado responsable de tratamiento, de igual forma que el encargado, en caso de la inobservancia del contrato.

Infracciones

Las infracciones por el incumplimiento de las condiciones del art. 28 y 29 del RGPD, es decir, por la inobservancia de la regulación contractual entre el responsable y el encargado, se sancionan con multas de hasta 10 millones de euros o un 2% del volumen del negocio total anual global del ejercicio financiero anterior. Si bien, podrán ser atenuadas en función de unos criterios de graduación señalados en el apartado 2 del art. 76 de la LOPDGDD.

El Art. 73 de la LOPDGDD considera infracciones graves el incumplimiento de lo indicado en el art. 28 y 29 del RGPD, y prescribirán a los 2 años.

Son infracciones graves:

La contratación de un encargado que no garantice medidas técnicas y organizativas suficientes.

No formalizar el contrato de cesión de datos por cuenta de terceros antes de contratar al encargado

Subcontratar los servicios con otros encargados sin la previa autorización del responsable.

Infracción cometida por un encargado al determinar los fines y medios de tratamiento según el art. 28.10.

No notificar al responsable las brechas de seguridad que pudiera conocer.

A continuación, se relacionan un conjunto de procedimientos de seguridad que contienen medidas que se pueden desarrollar, ampliar o reducir según las necesidades de la empresa. Se pueden tomar como referencia para proteger los ficheros y así poder cumplir con lo señalado en el art. 32 de Reglamento General de Protección de datos (RGPD), que versa sobre la seguridad del tratamiento de datos. Pulse en cada una de ellas para obtener más información.

Procedimientos de Seguridad. Introducción

  1. Procedimientos de gestión de usuarios y control de acceso.
  2. Procedimientos de gestión de contraseñas.
  3. Procedimientos de gestión de soportes.
  4. Procedimientos de seguridad en locales, departamentos y dispositivos físicos.
  5. Procedimientos de gestión de archivo.
  6. Procedimientos de ficheros temporales y copias de trabajo de documentos.
  7. Procedimientos de gestión de telecomunicaciones.
  8. Procedimientos de trabajo fuera de los locales.
  9. Procedimientos de protección en equipos, redes y aplicaciones informáticas.
  10. Procedimientos de gestión de copias de seguridad.
  11. Procedimientos de gestión de incidencias.

Comparte esta publicación:

Nuestros consultores de protección datos visitan a organizaciones y empresas del municipio de Aranjuez, ciudad situada al sureste de Madrid, con una población de unos 59.000 habitantes (datos del año 2019), destacando su industria como motor económico, aunque el empleo recae fundamentalmente en el sector público.

Protección de Datos en Aranjuez.

Reglamento General de Protección de Datos (RGPD) y a la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPD-GDD).