• Cristina Prados

<<HEM DE SIGNAR UN CONTRACTE D’ENCÀRREC DEL TRACTAMENT I NO SABEM QUÈ ÉS AIXÒ>>



Moltes són les empreses que no coneixen la distinció entre el Responsable i l’Encarregat del Tractament. Aquesta distinció és important i necessària per a saber com hem de complir amb la normativa andorrana en matèria de protecció de dades, donat que, les obligacions d’ambdós són diferents.


Les empreses se sorprenen quan apareix un col·laborador que vol signar un contracte d’encàrrec del tractament, i es desperta l’interès per compliment normatiu en matèria de protecció de dades.


A aquest article, repassarem les dues figures, les seves obligacions normatives, i la forma en què s’hi ha de regular la relació entre aquestes dues figures pel que fa al tractament de dades personals en la prestació de serveis que uneix ambdues parts.


RESPONSABLE I ENCARREGAT DEL TRACTAMENT: DISTINCIONS


El Responsable del Tractament, segons l’article 3.4 de la Llei 15/2003 Qualificada de Protecció de Dades (d’ara endavant «LQPD»), és una persona física o jurídica, de naturalesa publica o privada, que decideix sobre el tractament de les dades personals i els mitjans que es destinaran a tal tractament, i que vetlla perquè les finalitats que es pretén assolir amb el tractament es corresponguin amb les concretades en la norma o en la decisió de creació del fitxer.


Així mateix, l’article 4.7 del Reglament Europeu de Protecció de Dades (d’ara endavant «GDPR»), fa referència a la persona física o jurídica, autoritat publica, servei o qualsevol altre organisme que, determini les finalitats i mitjans de tractament.


D’altra banda, l’Encarregat del Tractament, segons l’article 3.5 LQPD on es parla d’ell fent referència al «Prestador de serveis de dades personals», es defineix com a la persona física o jurídica, de naturalesa publica o privada, que tracta les dades per compte del responsable del tractament, o que accedeix a les dades personals per a la prestació d’un servei a favor i sota el control del responsable del tractament, sempre que no utilitzi les dades a què tingui accés per a finalitats pròpies, o que no les faci servir més enllà de les instruccions rebudes o per a finalitats diferents del servei que ha de prestar a favor del responsable.


L’article 4.8 GDPR parla de la persona física o jurídica, autoritat publica, servei o organisme que tracti dades personals per compte del responsable del tractament.


Per a sintetitzar, el responsable del tractament determina les finalitats i mitjans de tractament, és a dir, decideix el «per què» i el «com» s’hauran de tractar les dades personals; mentrestant, l’encarregat tractarà les dades únicament per compte del responsable per la prestació dels seus serveis.


OBLIGACIONS DE LES PARTS


Al llarg del GDPR, així com a la Llei andorrana en la matèria, es desenvolupen tot un seguit d’obligacions per als responsables del tractament. A títol enunciatiu, i per tal de no desviar el tema que estem estudiant avui, els responsables del tractament tenen les següents obligacions:

  • Garantir els principis relatius al tractament de dades;

  • Establir la legitimitat del tractament de les dades;

  • Obtenir un consentiment vàlid per cada activitat de tractament;

  • Mostrar transparència a la recollida de dades a través de clàusules informatives adients;

  • Garantir els drets dels interessats;

  • Implementar les mesures de tècniques i organitzatives que calguin per a assegurar les dades personals;

  • Portar un Registre d’Activitats del Tractament al qual fa referència l’article 30 del GDPR, si escau;

  • Notificar les incidències de seguretat i portar-ne un registre i control de l’estat d’aquestes;

  • Avaluar l’impacte de protecció de dades, si escau;

  • Nomenar un Delegat de Protecció de Dades (DPO), si escau;

  • Controlar i regular les transferències internacionals de dades;

  • i, amb relació al tema que ens ocupa: Seleccionar als seus encarregats del tractament amb garanties suficients. El responsable del tractament ha de triar un encarregat del tractament que ofereixi garanties suficients respecte a la implantació i el manteniment de les mesures tècniques i organitzatives apropiades, d'acord amb el que s'estableix en el GDPR, i que garanteixi la protecció dels drets de les persones afectades. Existeix, per tant, un deure de diligència en l'elecció del responsable. El Considerant 81 GDPR preveu que l'encarregat del tractament ha d'oferir suficients garanties referent a coneixements especialitzats, fiabilitat i recursos, amb vista a l'aplicació de mesures tècniques i organitzatives que compleixin amb els requisits del Reglament, inclosa la seguretat del tractament. Per a demostrar que l'encarregat ofereix garanties suficients, el GDPR preveu que l'adhesió a codis de conducta o la possessió d'un certificat de protecció de dades poden servir com a mecanismes de prova.

Aquestes obligacions han d’estar degudament documentades i, en tot cas, a disposició de l’autoritat de control, l’Agència de Protecció de Dades d’Andorra (ADPA), tenint en compte el principi d’accountability que va incorporar el Reglament Europeu.


D’altra banda, pel que fa a les obligacions dels encarregats del tractament, podem agrupar principalment les següents obligacions:

  • Obligacions organitzatives:

  • L’encarregat haurà de tractar les dades d’acord amb les instruccions que hagi donat el responsable del tractament.

  • En cap cas, el responsable podrà utilitzar les dades amb finalitats diferents a les que el responsable ha establert, i amb la finalitat de satisfer les obligacions contractuals de la prestació de serveis que ens uneix.

  • Obligacions de seguretat:

  • L’encarregat ha comprometre’s a respectar la confidencialitat de les dades que tractarà.

  • L’encarregat del tractament, igual que el responsable, ha d’adoptar les mesures tècniques i organitzatives per tal d’assegurar les dades personals complint amb la normativa europea i nacional.

  • S’haurà de comprometre a destruir o restituir al responsable les dades personals, donant fe per escrit de dita devolució o destrucció.

  • Obligacions d’assistència al responsable:

  • L’encarregat haurà d’assistir al responsable per tal que pugui complir amb les seves obligacions de respondre a les sol·licituds de l’exercici dels drets dels interessats.

  • L’encarregat posarà a disposició del responsable tota la informació necessària per a demostrar el compliment de les obligacions establertes al contracte.

  • L’encarregat haurà de permetre o contribuir a la realització d’auditories o inspeccions per part del responsable en matèria de protecció de dades i seguretat.

  • Obligacions de subcontractació: amb caràcter general, l’encarregat no podrà subcontractar la realització de cap tractament que el responsable hi hagi delegat amb ell. La subcontractació només serà possible amb autorització per escrit, de forma general o específica.

REGULACIÓ DE LA RELACIÓ:

CONTRACTES D’ENCÀRREC DEL TRACTAMENT


La regulació de la relació entre el responsable i l'encarregat del tractament ha d'establir-se a través d'un contracte, o d'un acte jurídic similar, que els vinculi. El contracte o acte jurídic ha de constar per escrit, inclusivament en format electrònic.


En qualsevol cas, ja es tracti d'un acord o d'un altre acte jurídic, el seu contingut ha de reunir els requisits establerts en el GDPR, això és, com a mínim l'objecte, la durada, la naturalesa i la finalitat del tractament, el tipus de dades personals i categories d'interessats, i les obligacions i drets del responsable.


Com ja anàvem dient a antigues publicacions, a KLAB COMPLIANCE SOLUTIONS ens dediquem a la implementació i readaptació de les empreses a la normativa andorrana en matèria de Protecció de Dades. Animem a totes les empreses del Principat a complir amb les seves obligacions de compliment normatiu en matèria de Protecció de Dades, desenvolupant contractes d’encàrrec del tractament que regulin la relació entre Responsables i Encarregats.


Us ajudem al desenvolupament d’aquests contractes, així com a recolzar-vos en el compliment de la resta de les vostres obligacions esmenades a l’article que acabes de llegir.

Posa’t en contacte amb nosaltres per obtenir més informació.

Tel. +376 808 178

Mail. info@klabcompliance.com

Web. https://www.klabcompliance.com/

LinkedIn. https://www.linkedin.com/company/klab-compliance-solutions/


Cristina Prados Ruiz, Assessora Corporate Compliance.


12 vistas
 

©2020 por Mi Sitio. Creada con Wix.com