Principales novedades del RGPD en la relación entre Encargado y Responsable

Comparte el post | Share this post
Share on Facebook
Facebook
Share on Google+
Google+
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin
Email this to someone
email

Son varias las novedades introducidas por el Reglamento General de Protección de Datos (en adelante, RGPD) que entrará en aplicación el próximo día 25 de mayo de 2018. Uno de los elementos que también se verá afectado será la relación existente entre Encargados y Responsables del Tratamiento. Y es que debe tenerse en cuenta que los tratamientos de datos actuales deben adaptarse a la nueva regulación, siendo uno de los elementos de tratamiento los contratos existentes entre Encargados y Responsables del Tratamiento. 

Pero, ¿Qué novedades concretas ha introducido el nuevo Reglamento en la relación entre Encargado y Responsable?

Podríamos resumirlas en 8 puntos que a continuación se exponen.

1) En la nueva regulación se concreta que en el Contrato existente entre Encargado y Responsable deben constar el objeto, la duración, la finalidad del tratamiento, el tipo de datos personales tratados, las categorías de Interesados y las obligaciones y derechos de las partes.

2) El nuevo articulado, a diferencia de la anterior regulación, habla de forma expresa sobre las transferencias internacionales de datos realizadas por el Encargado del Tratamiento. Sobre ello afirma que, como regla general, éste solo podrá realizarlas cuando se lo haya indicado el Responsable.

A pesar de lo anterior, la regulación prevé un supuesto concreto en el que no será necesaria la indicación del Responsable: en aquellos casos en que, por disposición legal del Derecho de la Unión o de un Estado Miembro, dicha transferencia deba realizarse. En éste último caso, aunque para la realización de la transferencia no sea necesaria la autorización del Responsable, sí que deberá haberse informado con anterioridad al mismo de la existencia de la obligación legal, siempre que el derecho de la Unión o Estado Miembro, por razones de interés público, prohíba dicha comunicación. 

3) El RGPD hace incapié en el compromiso de confidencialidad del Encargado del Tratamiento. Para ello, expone que el Encargado deberá garantizar al Responsable el cumplimiento de la obligación de confidencialidad algo que no se indicaba de manera expresa en la anterior regulación. 

4) Respecto las medidas de seguridad, en la anterior regulación se establecía que en el Contrato entre Encargado y Responsable se indicarían las medidas de seguridad concretas a aplicar. No obstante, en la nueva regulación del RGPD, se dispone que en el Contrato entre Encargado y Responsable debe constar que el primero se compromete a adoptar todas las medidas de seguridad necesarias para cumplir con las exigencias de la normativa de protección de datos, pudiéndose determinar las medidas a aplicar mediante un listado o remisión a un estándard, Código de Conducta o Mecanismo de Certificación. 

5) Una novedad introducida por el RGPD es que en el Contrato entre Encargado y Responsable deberá disponerse de manera expresa que el Encargado asistirá al Responsable en el cumplimiento de respuestas a solicitudes de Interesados. En relación con ello, deberá determinarse si el Encargado deberá responder a las solicitudes o si deberá remitirlas al Responsable, y las formas y plazos de dichos actos

6) En la nueva regulación se añade una obligación extra para el Encargado: éste deberá ayudar al Responsable a cumplir con las obligaciones que recaen sobre éste -indicadas en los artículos 32 a 36 RGPD– que son medidas de seguridad a aplicar, notificación de violaciones de seguridad, comunicación de violaciones de seguridad, evaluación de impacto y consulta previa; así como deberá colaborar con el Responsable para demostrar el cumplimiento de las obligaciones derivadas de la normativa de protección de datos. 

7) A pesar que en la anterior regulación sí se disponía la obligación de indicar en el Contrato entre Encargado y Responsable que a la fin del contrato los datos deberían ser destruidos o devueltos al Responsable, no se indicaba de manera expresa quién tenía poder en la decisión de devolución o destrucción de los datos. Actualmente el RGPD dispone de manera expresa que el Responsable será el que elegirá entre la destrucción o devolución de los datos. 

8) A pesar que en la anterior regulación se permitía que el Contrato entre Encargado y Responsable pudiera realizarse en cualquier forma que permitiera probar su celebración, habiéndose aceptado la forma verbal por la propia Audiencia Nacional; el RGPD establece de manera clara que el Contrato existente entre Encargado y Responsable deberá constar por escrito.

Comparte el post | Share this post
Share on Facebook
Facebook
Share on Google+
Google+
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin
Email this to someone
email

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *