El responsable del tratamiento tiene la obligación de ser diligente en la elección de aquellos prestadores de servicios que tengan acceso a los datos personales bajo su responsabilidad, recomendándose para ello la realización de una evaluación de encargados del tratamiento previa a la contratación de éstos. Según el artículo 28(1) del Reglamento General de Protección de Datos (RGPD):
“Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.”
Importancia de la evaluación de encargados del tratamiento
Antes de contratar a un encargado del tratamiento, debe realizarse una evaluación para determinar si este ofrece las garantías necesarias en términos de conocimientos, fiabilidad y recursos, asegurando el cumplimiento de la normativa de protección de datos.
La LOPD-GDD considera una infracción grave contratar a un encargado que no ofrezca garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas, conforme al RGPD.
Preguntas clave para la evaluación
-
- Delegado de Protección de Datos: ¿Ha designado el encargado del tratamiento un delegado de protección de datos?
- Responsable de seguridad: ¿Cuenta con un responsable de seguridad encargado de las medidas de seguridad?
- Registro de actividades: ¿Lleva un registro de actividades de tratamiento?
- Ubicación del tratamiento: ¿Ejecutará el tratamiento dentro del Espacio Económico Europeo?
- Historial sancionador: ¿Tiene expedientes ante la Agencia Española de Protección de Datos u otra autoridad de control
- Formación del personal: ¿Ha impartido formación apropiada en protección de datos a su personal?
- Acceso a los datos: ¿Limitará el acceso a los datos a un número mínimo de personas?
- Confidencialidad: ¿Han firmado acuerdos de confidencialidad las personas autorizadas para tratar los datos?
- Análisis de riesgos: ¿Ha evaluado los riesgos derivados del tratamiento?
- Normas de seguridad: ¿Aplica normas de seguridad reconocidas (ISO/IEC 27000, Esquema Nacional de Seguridad)?
- Inventario de activos: ¿Tiene un inventario de los activos utilizados en el tratamiento?
- Códigos de conducta: ¿Está adherido a un código de conducta o posee certificación en protección de datos?
- Subcontratación: ¿Tiene la intención de recurrir a otro encargado para el servicio?
- Gestión de solicitudes: ¿Posee un procedimiento para gestionar las solicitudes de ejercicio de derechos de los interesados?
- Brechas de seguridad: ¿Implementa un procedimiento de gestión y notificación de brechas de seguridad?
- Colaboración con el responsable: ¿Tiene un equipo que colabore con el responsable del tratamiento en el cumplimiento de sus obligaciones?
- Conservación y borrado de Datos: ¿Posee un protocolo de conservación y borrado o devolución de los datos personales
- Auditorías: ¿Tiene un plan de auditoría en materia de protección de datos?
Documentación a solicitar
-
- Registro de actividades de tratamiento.
-
- Informe del análisis de riesgos.
-
- Contenido de la formación impartida y acuerdos de confidencialidad.
-
- Prueba de adhesión a códigos de conducta o certificaciones.
-
- Procedimientos de gestión de brechas de seguridad y solicitudes de protección de datos.
-
- Inventario de recursos utilizados en el tratamiento.
-
- Contratos de subcontratación.
-
- Informes de auditoría recientes.
Proceso de verificación
El responsable del tratamiento puede verificar proactivamente si el encargado del tratamiento ha sido parte de expedientes sancionadores o si ha designado un delegado de protección de datos a través de la página web de la Agencia Española de Protección de Datos (AEPD).
Informe de evaluación
El resultado final de la evaluación debe documentarse en un informe que incluya conclusiones sobre la idoneidad del encargado y, si es necesario, exija garantías adicionales. Este informe puede anexarse al contrato que regule el encargo del tratamiento.
Participación del Delegado de Protección de Datos
Si el responsable del tratamiento ha designado un delegado de protección de datos, este debe participar en el proceso de evaluación, proporcionando el asesoramiento necesario.
Recomendación final
El contrato que regule el encargo de tratamiento debe incluir un apartado específico sobre cómo el responsable del tratamiento ha cumplido con su deber de diligencia en la elección del encargado, describiendo las garantías ofrecidas, las cuales deben mantenerse a lo largo de la ejecución del encargo.
Abogado especializado en protección de datos en la evaluación de encargados del tratamiento
Contar con un abogado especializado en protección de datos permite asegurar que tanto la evaluación de encargados del tratamiento como la regulación contractual con éstos se realicen de forma adecuada, minimizando los riesgos.
Si necesitas asesoramiento respecto los proveedores que acceden y tratan los datos personales de tu empresa y cómo mejor cumplir con las obligaciones derivadas de la normativa de protección de datos, no dude contactar los abogados especializados en protección de datos de Auferil escribiendo al info@auferil.es o vía WhatsApp a través del (+34) 676.351.757.