Cumplimiento del RGPD por parte del subcontratista: 8 obligaciones que debe cumplir
Tanto si una entidad es un proveedor de software SaaS, un editor de aplicaciones web, un integrador, un proveedor de servicios digitales e informáticos, como si hace uso de tales servicios, es muy probable que esté sujeta al futuro Reglamento General de Protección de Datos ( RGPD ), que entrará en vigor el 25 de mayo de 2018, y que se enfrente a cuestiones relacionadas con la externalización de datos personales.
En consecuencia, los subcontratistas tendrán que adecuar sus actividades a las nuevas obligaciones del GDPR que pronto les corresponderán, para no correr el riesgo de ser sancionados por las autoridades de control. Pero para ello, aún deben saber cuáles son.
RESUMEN :
Operación preliminar: identificar las relaciones de subcontratación
Para cumplir con el RGPD, es necesario identificar con precisión las relaciones de subcontratación de datos personales y clasificar a las partes implicadas según el papel de cada una, responsable del tratamiento o subcontratista.
Se trata de una operación crucial, ya que determinará las obligaciones que debe cumplir una entidad.
Un encargado del tratamiento es toda persona que trata datos personales por cuenta de otra entidad, el responsable del tratamiento.
El encargado del tratamiento se diferencia de este último en que no define ni la finalidad del tratamiento (para qué se tratan los datos) ni los medios esenciales del tratamiento (los procesos mediante los cuales se tratarán principalmente los datos).
Como esta distinción se hace tratamiento por tratamiento de datos, es concebible que la misma entidad, en su relación con un socio comercial y en caso de múltiples operaciones de tratamiento, pueda ser responsable del tratamiento para una operación, pero encargado del tratamiento para otra.
Con tal definición, cabe señalar que la noción de encargado del tratamiento en el sentido de la legislación sobre datos personales es una falsa amiga de la noción de encargado del tratamiento en el sentido habitual o comercial.
Un encargado del tratamiento en el sentido comercial del término bien puede ser un responsable del tratamiento en el sentido de la ley de datos, y viceversa.
Por lo tanto, es necesario estar especialmente atento a este aspecto y abordar esta fase del cumplimiento con una mentalidad abierta.
Una vez que una entidad ha identificado claramente los fines para los que está tratando datos personales, tendrá que cumplir 8 obligaciones principales.
Obligación nº 1: respetar la forma de los contratos de subcontratación
El RGPD exige que la relación entre el responsable y el encargado del tratamiento esté estrictamente regulada y formalizada en un contrato escrito.
Este contrato debe contener una serie de cláusulas obligatorias, incluida una cláusula que autorice al responsable del tratamiento a auditar la forma en que el encargado del tratamiento trata los datos en su nombre, y una cláusula que organice el acceso a los datos por parte del personal del encargado del tratamiento.
Para cumplir estas nuevas normas, los encargados del tratamiento deberán, por tanto, actualizar tanto sus contratos existentes como sus modelos de contrato para el futuro.
Obligación nº 2: elija a sus subcontratistas
En virtud del RGPD, el encargado del tratamiento sólo está obligado a contratar a otro encargado previa autorización por escrito del responsable del tratamiento.
Esta autorización puede ser específica, para un encargado del tratamiento de segundo nivel concreto, o general, para cualquier encargado del tratamiento de segundo nivel que el responsable del tratamiento ya tenga o contrate en el futuro.
En tales casos, el contrato entre el encargado del tratamiento y el encargado del tratamiento de segundo nivel debe ofrecer al menos el mismo nivel de garantías de protección de datos que el celebrado entre el responsable del tratamiento y el encargado del tratamiento.
También en este caso, el cumplimiento por parte de una entidad que trate datos personales implicará la revisión de los contratos existentes con sus socios y la actualización de los modelos contractuales para el futuro.
Obligación nº 3: cumplir las instrucciones del responsable del tratamiento
El RGPD deja muy poco margen de maniobra a la entidad que trata datos personales por cuenta de un responsable del tratamiento.
En consecuencia, el encargado del tratamiento sólo podrá llevarlo a cabo en la medida en que cumpla las instrucciones que le haya dado el responsable del tratamiento.
Estas instrucciones pueden estar especificadas en el contrato celebrado inicialmente entre el encargado del tratamiento y el responsable del tratamiento o pueden ser dadas posteriormente por el responsable del tratamiento.
No obstante, esta obligación no significa que el encargado del tratamiento deba permanecer pasivo en su relación con el responsable del tratamiento.
Están obligados a informar inmediatamente al responsable del tratamiento si consideran que una instrucción que han recibido es contraria al RGPD o, más en general, al Derecho de la Unión Europea o nacional.
Obligación nº 4: llevar un registro de tratamiento
Para los encargados del tratamiento que empleen a más de 250 personas, los que efectúen regularmente tratamientos especialmente arriesgados o los que traten datos sensibles (datos sanitarios, datos relativos a condenas penales, etc.), el RGPD les obliga a llevar un registro de sus actividades de tratamiento.
El objetivo de este registro es permitir a las autoridades de control (en Francia, la CNIL) facilitar sus auditorías. Debe contener toda la información necesaria para proporcionar una visión general de la forma en que los datos son tratados por un procesador: en nombre de quién se tratan los datos, qué medidas de seguridad se han establecido, qué tipos de tratamiento se llevan a cabo, etcétera.
Se trata de una etapa importante en el cumplimiento de la normativa, ya que a veces requiere una verdadera investigación interna.
Obligación nº 5: mantener un nivel de seguridad proporcionado
La falta de seguridad en el tratamiento de datos personales efectuado por un encargado del tratamiento por cuenta de un responsable del tratamiento es uno de los motivos frecuentes de sanción por parte de la CNIL.
Por eso es importante ser especialmente diligente en estas cuestiones y asegurarse de que las medidas aplicadas por el encargado del tratamiento para evitar la violación de los datos son las adecuadas, tal y como exige el RGPD.
Para determinar si estas medidas son adecuadas se utilizan varios criterios. El principal es tener en cuenta el nivel de riesgo que genera el tratamiento para las personas cuyos datos se tratan.
Sin embargo, y esto es de agradecer, el cumplimiento de las obligaciones de seguridad del RGPD no exige que el encargado del tratamiento destine todo su presupuesto anual a la seguridad.
Por tanto, el nivel de exigencia dependerá de los recursos del subcontratista, ya sean humanos, materiales o técnicos.
Garantizar que el subcontratista cumple las normas en materia de seguridad de los datos significa asegurarse de que hace todo lo que puede con lo que tiene. Esto significa llevar a cabo una auditoría de seguridad para identificar posibles puntos débiles y hacer las correcciones necesarias para remediarlos.
Si los recursos de la entidad lo permiten, se recomienda recurrir a un proveedor de servicios especializado en ciberseguridad.
Obligación nº 6: informar al responsable del tratamiento en caso de violación de datos personales
En ciberseguridad, es habitual decir que no se trata tanto de saber si una entidad será víctima de una violación de datos, sino de saber cuándo lo será.
Una violación de datos puede adoptar muchas formas, como la destrucción, la pérdida, la alteración, la divulgación no autorizada o el acceso no autorizado a los datos.
Lamentablemente, hay muchas posibilidades de que un procesador de datos personales sufra una violación de datos al menos una vez en su vida.
El RGPD hace recaer sobre el responsable del tratamiento la gran mayoría de las obligaciones relativas a las violaciones de datos personales.
El encargado del tratamiento, por su parte, sólo tiene dos obligaciones: en primer lugar, notificar lo antes posible al responsable del tratamiento si sufre una violación de los datos que trata por cuenta de éste y, en segundo lugar, cooperar con el responsable del tratamiento en cuanto éste se lo solicite.
Por lo tanto, en el marco del proyecto de conformidad del subcontratista, es útil definir de antemano los procedimientos que deben seguirse en caso de violación de los datos, para garantizar que la información circule rápidamente y poder reaccionar con mayor celeridad ante la urgencia de estas situaciones.
Obligación nº 7: Nombrar a un responsable de la protección de datos (RPD)
Cuando las actividades de un subcontratista impliquen el tratamiento de una gran cantidad de datos personales o de datos especialmente sensibles, el RGPD le obliga a designar a una persona que se ocupe de todas sus cuestiones relacionadas con la protección de datos: el Delegado de Protección de Datos ( DPO ), que debe depender directamente del nivel más alto de la dirección del subcontratista.
Para ello, el RGPD permite al encargado del tratamiento cierto margen de maniobra a la hora de designar a su RPD. Puede tratarse de un miembro del personal del encargado del tratamiento o de un proveedor de servicios si la función de RPD se externaliza.
También es posible que varias entidades, ya sean subcontratistas o responsables del tratamiento, pongan en común sus recursos designando un RPD conjunto.
Una vez designado el RPD, el subcontratista, en su relación con el RPD, debe garantizar que éste disponga de los recursos necesarios para desempeñar sus funciones, es decir, que el RPD participe sistemáticamente en las cuestiones de protección de datos, que disponga de recursos suficientes y que pueda actuar con total independencia.
El nombramiento del RPD0 es, por tanto, un paso importante para garantizar el cumplimiento de la normativa de protección de datos, en la medida en que es el RPD0 quien, en primer lugar, gestionará el proyecto para que el encargado del tratamiento cumpla la normativa y, en segundo lugar, velará por que se mantenga el cumplimiento.
Obligación nº 8: garantizar la licitud de las transferencias de datos a terceros países
Muchas actividades de la industria digital requieren la transferencia de datos personales de un país a otro, ya sea entre entidades pertenecientes al mismo grupo de empresas o como parte de la prestación de servicios.
En este sentido, el RGPD nos exige ser especialmente escrupulosos con las condiciones en las que se realizan estas transferencias.
Un encargado del tratamiento sólo puede transferir datos al extranjero en determinadas circunstancias limitadas.
En consecuencia, un encargado del tratamiento solo puede transferir datos al extranjero en determinadas circunstancias limitadas: si el destinatario de los datos se encuentra en la Unión Europea o en un país que la Comisión Europea haya considerado que ofrece un nivel suficiente de protección de datos, si la entidad que recibe los datos presenta personalmente una serie de garantías (en particular, mediante la adopción de normas corporativas vinculantes, la adhesión a un código de conducta aprobado por las autoridades competentes o una organización contractual adecuada de la transferencia).
Por tanto, para cumplir el RGPD, el encargado del tratamiento debe identificar las transferencias de datos que realiza y reorganizarlas si no entran en el ámbito de aplicación del Reglamento.
Conclusión
Adaptar las actividades de un encargado del tratamiento al RGPD no es tarea fácil. Hay muchas obligaciones que cumplir, algunas de las cuales requieren verdaderos conocimientos técnicos.
Pero a medida que los socios comerciales se vuelven cada vez más exigentes en cuanto al cumplimiento de la normativa de protección de datos, es posible ver el cumplimiento no como una tarea, sino como una oportunidad para obtener una ventaja competitiva.