La importancia de elegir bien a nuestros proveedores en relación a la Protección de Datos

Dentro de la nueva normativa (RGPD y LOPDPyGDD) en materia de protección de datos personales se hace especial incidencia en la adecuada elección de nuestros proveedores que, por razón de su prestación, tengan acceso a datos personales; son los llamados según la normativa “encargados del tratamiento”, y pueden ser definidos como aquellos que tratan datos personales por la prestación de un servicio que nosotros (empresa) les encomendamos.

¿Quién puede ser nuestro encargado de tratamiento?

Son diversos los proveedores que en el día a día, por el servicio que nos prestan van a pasar a ser considerados encargados de tratamiento, por ejemplo, la empresa que nos presta el servicio de mantenimiento informático puede ser un encargado del tratamiento (a través por ejemplo de un acceso remoto a nuestros equipos informáticos donde almacenamos datos personales de personas físicas como por ejemplo clientes), la empresa que se encarga de nuestra prevención en riesgos laborales también tendrá acceso a datos personales de nuestros empleados, nuestra asesoría de confianza casi con total seguridad llevará a cabo un tratamiento de datos personales  con motivo del servicio que nos prestan.

Según indica la normativa: “se elegirá únicamente un encargado que ofrezca garantías suficientes de manera que el tratamiento sea conforme a los requisitos que impone la normativa de protección de datos”.

Algunos consejos últiles

 Parece muy obvio, pero el primer paso o consejo a seguir es, antes de contratar los servicios de alguna de estas empresas comprobar que ese proveedor ejerce su actividad cumpliendo con la normativa de protección de datos.

 Por otro lado, la norma nos indica que, el tratamiento por el encargado (esto es, el acceso de nuestro proveedor a los datos personales de terceros) se regirá por un contrato que debe hacer referencia a una serie de aspectos:

  • Deberá hacer mención de que el encargado solamente llevara a cabo tratamiento de datos personales siguiendo las instrucciones del responsable (el hecho de que nuestro proveedor tenga acceso a datos personales que están bajo nuestra responsabilidad no le da derecho a tratarlos como le parezca, solo puede tratarlos conforme a las instrucciones que le demos, es decir la finalidad que le hemos encomendado).
  • Así mismo, será obligación de nuestro proveedor garantizarnos que las personas (empleados de nuestro proveedor) autorizadas para tratar esos datos personales se hayan comprometido a respetar la confidencialidad (fundamental que nuestro proveedor tenga cláusulas de confidencialidad con sus empleados).
  • Al igual que nosotros, nuestro proveedor tendrá que tomar las medidas de seguridad necesarias para llevar a cabo un tratamiento conforme a la normativa, estas se centran en tres aspectos. Por un lado, garantizar la confidencialidad de los datos, es decir, evitar que terceros tengan acceso a los datos personales que tratamos, por ejemplo, a través de un sistema de cifrado de nuestros dispositivos digitales.También garantizar su disponibilidad, es decir, adoptar las medidas que permitan tener siempre a disposición los datos personales que estemos tratando, por ejemplo, a través de una copia de seguridad. Y, por último, garantizar su integridad, es decir mantener los datos libres de modificaciones no autorizadas, por ejemplo, estableciendo un sistema de autenticación e identificación (usuario y contraseña) para que solo personas autorizadas puedan modificar los datos personales.
  • Además, existen una serie de aspectos que dependen de nuestra decisión, de modo que, es una oportunidad para determinar unas condiciones a nuestro proveedor a la hora del tratamiento de datos, estas son:
  1. Podemos permitir o no a nuestro proveedor que recurra a otro encargado de tratamiento para prestarnos el servicio encomendado (sub-encargado de tratamiento).
  2. Como sabemos, las personas afectadas por el tratamiento de sus datos pueden ejercer una serie de derechos y en este aspecto, las posibilidadesque nos otorga la normativa son: que nuestro proveedor resuelva por nuestra cuenta estas solicitudes o, por el contrario, que nos las comunique de forma inmediata para atenderlas nosotros mismos.
  3. Cuando la prestación del servicio por parte de nuestro provedor implica una recogida de datos, por ejemplo una campaña publicitaria, podemos decidir si nuestro proveedor debe informar a estas personas del tratamiento de sus datos personales o, si por el contrario, lo vamos a hacer nosotros mismos.
  4. En relación a las notificaciones de brechas de seguridad de los datos personales, deberemos una vez más, determinar si seremos nosotros como empresa, o bien nuestro proveedor del servicio, quien se encargará de comunicar a la autoridad de protección de datos (Agencia Española de Protección de Datos), dichas brechas de seguridad.  
  5. Por último, otro punto importante es determinar que ocurre con los datos personales tratados cuando finalice la prestación del servicio de nuestro proveedor, aquí debemos elegir entre: que nos devuelva los datos personales tratados, devolver a otro encargado que designemos o destruir los datos una vez cumplida la prestación

 Conclusiones

Como hemos visto en este artículo, dado el abanico de posibilidades que ofrece la relación con nuestros proveedores en materia de Protección de Datos, y las responsabilidades que de ella pueden derivar, tendremos que estructurar correctamente el ya nombrado contrato de encargado de tratamiento para, una vez más, exonerar a nuestra empresa de responsabilidad cuando no nos competa, al igual que, blindaremos la seguridad de nuestra sociedad y de los datos que se traten en el seno de esta, en lo que nos compete directamente a nosotros.

Este contrato entre ambas partes especificará y documentará la relación de la prestación de servicios que tenemos con nuestros proveedores.

 

Fuente:  CEValladolid