Evaluación de los encargados del tratamiento según el RGPD
El responsable del tratamiento tiene la obligación de ser diligente en la evaluación de los encargados del tratamiento que tendrán acceso a los datos personales bajo su responsabilidad. Para ello, debe realizar una evaluación previa a la contratación de estos encargados. Según el artículo 28(1) del Reglamento General de Protección de Datos (RGPD):
“Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.”
Importancia de la evaluación de los encargados del tratamiento
Es crucial que el responsable del tratamiento realice una evaluación detallada de los encargados del tratamiento antes de proceder a su contratación. Esta evaluación no solo garantiza el cumplimiento del RGPD, sino que también protege los derechos de los interesados. Además, la LOPD-GDD considera una infracción grave la contratación de un encargado que no ofrezca garantías suficientes para aplicar las medidas técnicas y organizativas necesarias.
Preguntas clave para la evaluación de los encargados del tratamiento
Existen ciertas preguntas clave que deben plantearse para evaluar si un encargado del tratamiento cumple con las garantías exigidas por la normativa:
- Delegado de Protección de Datos: ¿Ha designado el encargado un delegado de protección de datos?
- Responsable de seguridad: ¿Cuenta con un responsable de las medidas de seguridad?
- Registro de actividades: ¿Lleva un registro de las actividades de tratamiento?
- Ubicación del tratamiento: ¿El tratamiento se realizará dentro del Espacio Económico Europeo?
- Historial sancionador: ¿Tiene expedientes ante alguna autoridad de control, como la AEPD?
- Formación del personal: ¿Se ha impartido formación en protección de datos a su personal?
- Acceso a los datos: ¿Limitará el acceso a los datos a un mínimo de personas?
- Confidencialidad: ¿Se han firmado acuerdos de confidencialidad con las personas autorizadas para el tratamiento?
- Análisis de riesgos: ¿Se han evaluado los riesgos asociados al tratamiento?
- Normas de seguridad: ¿Aplica normas de seguridad reconocidas, como ISO/IEC 27000?
- Inventario de activos: ¿Dispone de un inventario de los activos utilizados en el tratamiento?
- Códigos de conducta: ¿Está adherido a algún código de conducta o cuenta con certificaciones en protección de datos?
- Subcontratación: ¿Planea recurrir a otros encargados para el servicio?
- Gestión de solicitudes: ¿Cuenta con un procedimiento para gestionar solicitudes de ejercicio de derechos?
- Brechas de seguridad: ¿Tiene un procedimiento para gestionar y notificar brechas de seguridad?
- Colaboración con el responsable: ¿Colabora con el responsable en el cumplimiento de sus obligaciones?
- Conservación y borrado de datos: ¿Tiene un protocolo de conservación y borrado de datos?
- Auditorías: ¿Dispone de un plan de auditoría para garantizar el cumplimiento?
Documentación a solicitar
Es fundamental solicitar la documentación que respalde las garantías ofrecidas por el encargado del tratamiento. Por ejemplo, el registro de actividades de tratamiento y el informe del análisis de riesgos son esenciales para verificar que las medidas de seguridad están siendo implementadas correctamente.
- Registro de actividades de tratamiento.
- Informe del análisis de riesgos.
- Documentación de la formación impartida y acuerdos de confidencialidad.
- Prueba de adhesión a códigos de conducta o certificaciones.
- Procedimientos de gestión de brechas de seguridad.
- Inventario de recursos utilizados en el tratamiento.
- Contratos de subcontratación.
- Informes de auditoría recientes.
Proceso de verificación
El responsable del tratamiento debe verificar de manera proactiva que el encargado del tratamiento cumple con las garantías necesarias. Además, puede consultar si el encargado ha sido objeto de sanciones anteriores en la Agencia Española de Protección de Datos. Esta verificación asegura que no se cometerán errores en la elección del encargado.
Informe de evaluación
El resultado de la evaluación debe plasmarse en un informe donde se detallen las conclusiones sobre la idoneidad del encargado. En caso de que se identifiquen riesgos adicionales, se deben exigir garantías adicionales antes de formalizar el contrato. Este informe puede formar parte del expediente de contratación.
Participación del Delegado de Protección de Datos
Si el responsable del tratamiento cuenta con un delegado de protección de datos, este debe participar activamente en el proceso de evaluación. Esto incluye proporcionar asesoramiento durante la evaluación y asegurar que se cumplan las obligaciones de protección de datos.
Recomendación final
Finalmente, es importante que el contrato con el encargado del tratamiento detalle explícitamente cómo el responsable ha cumplido con su deber de diligencia. Además, es recomendable incluir en el contrato una cláusula que garantice la actualización continua de las medidas de seguridad durante la ejecución del tratamiento.
Para más información o asesoría sobre la evaluación de encargados del tratamiento, contacte los abogados especializados en protección de datos de Auferil escribiendo al info@auferil.es o vía WhatsApp a través del (+34) 676.351.757. Para obtener información detallada sobre nuestros servicios dirigidos a empresas y autónomos, haz clic aquí.