CNIL: Responsable del tratamiento y subcontratista: 6 buenas prácticas para respetar los datos personales

Desde la entrada en vigor del GDPR, se han impuesto nuevas obligaciones tanto a los procesadores de datos como a los controladores de datos.

Los controles llevados a cabo por la CNIL, en el marco de los temas de control prioritarios para 2019, han revelado una conciencia real de las nuevas obligaciones que pesan sobre los subcontratistas con, en particular, el desarrollo por parte de los propios subcontratistas de cláusulas contractuales modelo, anexas al contrato de subcontratación (también denominado contrato de prestación de servicios).

Este consejo es una continuación de la guía para subcontratistas publicada por la CNIL en septiembre de 2017. Se está trabajando a nivel del Comité Europeo de Protección de Datos sobre los conceptos de controlador y subcontratista, lo que permitirá especificar y completar estos primeros recordatorios.

1/ Determinar el estatus de los actores involucrados

Cuando una organización procesa datos personales en nombre de un controlador de datos, se considera su subcontratista en el sentido del GDPR. Este también es el caso si proporciona una solución "llave en mano", si esta organización realmente procesa datos personales (y no es, por ejemplo, solo un editor de software).

Por el contrario, si el subcontratista también trata los datos resultantes de este tratamiento por cuenta propia (por ejemplo, para la gestión de la relación con el cliente o con fines contables), será considerado responsable del tratamiento para ello. tratamiento específico.

Asesoramiento de la CNIL

El cliente y el prestador del servicio definen cada uno su rol en base a la normativa aplicable (artículos 4.7, 4.8 y 28.10 del RGPD), realizando el análisis conjuntamente, para luego poder acordar sus respectivas obligaciones. .

Esto también se aplica a los casos de subcontratación que implican un acceso único a los datos personales (como las operaciones de mantenimiento). Tenga en cuenta que esto no significa que las partes puedan "elegir" juntas la calificación que más les convenga.

Esta aclaración es fundamental para garantizar la seguridad jurídica de ambas partes del contrato.

2 / Establecer un contrato claro

El responsable del tratamiento y el subcontratista deben celebrar un contrato que incluya varias informaciones obligatorias enumeradas en el artículo 28.3 del RGPD. Esto debería permitir a las partes:

- organizar sus relaciones y sus respectivas obligaciones en materia de protección de datos personales;

- Integrar toda la información enumerada en el artículo 28.3 del RGPD, adecuándola a su situación, e implementar las obligaciones así definidas.

Las siguientes cláusulas constituyen puntos especiales de vigilancia.

A/ Definir y supervisar el tratamiento

El contrato debe definir claramente el objeto, la duración, la naturaleza y la finalidad del tratamiento, así como las categorías de datos personales y las categorías de interesados. Es esta definición la que establece el marco del procesamiento para el procesador. En la práctica, el objeto del procesamiento corresponderá con mayor frecuencia a la actividad del subcontratista (por ejemplo, enrutamiento de correo electrónico, alojamiento de datos, mantenimiento o servicios de soporte).

Cualquier operación de procesamiento no prevista en el contrato debe, en principio, estar sujeta a una renegociación previa entre las partes o al menos a instrucciones escritas del controlador.

B / Especificar las condiciones en las que el subcontratista puede recurrir a un subcontratista.

El subcontratista solo puede contratar a otro subcontratista con la autorización por escrito del responsable del tratamiento (artículo 28 del RGPD).

Esta autorización puede ser otorgada al subcontratista caso por caso, para cada nuevo subcontratista, o ser de alcance general. La CNIL recomienda especificar en el contrato cuál de estos dos métodos de autorización es el elegido por las partes.

Si la autorización es de alcance general, el procesador debe informar al controlador de datos de la lista de sus procesadores posteriores, así como de cualquier adición o reemplazo en esta lista, para que pueda oponerse a ella. lo desea. En este caso, la CNIL recomienda celebrar arreglos contractuales para informar al principal y, posiblemente, los criterios para la elección de estos subcontratistas.

El subcontratista debe mantener una lista actualizada de los subcontratistas que utiliza en su registro.

3 / Documentar la actividad de subcontratación

El controlador de datos debe asegurarse de que su subcontratista cumpla con el GDPR. Para ello, el contrato debe incluir imperativamente una cláusula según la cual el subcontratista pone a disposición del principal toda la información necesaria para demostrar el cumplimiento de las obligaciones previstas en el artículo 28 de la RGPD y permitir la realización de una auditoría. por el responsable del tratamiento (u otro auditor designado por él).

Además de celebrar un contrato de subcontratación, el subcontratista también debe:

- asegurarse de que las instrucciones emitidas por el responsable del tratamiento se formalicen por escrito y registrarlas para poder demostrar que está actuando según las instrucciones del responsable del tratamiento;

- llevar un registro de las actividades de tratamiento realizadas en nombre del responsable del tratamiento (artículo 30.2 del RGPD);

- poner a disposición del responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de sus obligaciones y permitir la realización de auditorías.

4 / Ofrecer herramientas que respeten los datos personales

El subcontratista debe ofrecer garantías suficientes para cumplir con los requisitos del RGPD (artículo 28.1 del RGPD). Debe ofrecer soluciones y herramientas que respeten los datos personales.

También tiene una función de asistencia y asesoramiento con respecto al responsable del tratamiento. Debe alertar al responsable del tratamiento si considera que una instrucción que recibe constituye una infracción a la normativa aplicable en materia de datos personales.

Por su parte, el responsable del tratamiento debe asegurarse de utilizar servicios que incluyan funcionalidades y herramientas técnicas que le permitan asegurar el cumplimiento.

Asesoramiento de la CNIL

Las siguientes características pueden ayudar al controlador de datos a garantizar el cumplimiento:

- una interfaz para recopilar el consentimiento, en caso de que el procesamiento de datos personales llevado a cabo por el controlador de datos requiera el consentimiento del usuario final;

- un enlace para darse de baja automática, cuando el tratamiento de los datos personales se base en el consentimiento del usuario, para permitirle retirar este consentimiento en cualquier momento;

- una interfaz y un modelo de información para las personas;

- un sistema de depuración automática de los datos cuyo período de conservación ha expirado.

5 / Ayudar al responsable del tratamiento a responder a las solicitudes de ejercicio de los derechos personales

El subcontratista debe ayudar al principal en la tramitación de las solicitudes para ejercer los derechos que recibe (acceso, rectificación, supresión, limitación, portabilidad) de acuerdo con el artículo 28.3.e) del RGPD. Esta asistencia es tanto más esencial cuanto que, en ocasiones, el subcontratista es el que mejor puede garantizar la ejecución técnica del seguimiento de las solicitudes de ejercicio de derechos.

Por tanto, es importante organizar, desde la celebración del contrato de subcontratación, los términos de esta asistencia y asegurar que la solución proporcionada por el subcontratista incorpore funcionalidades que permitan responder a estas solicitudes de forma fácil y rápida.

Asesoramiento de la CNIL

Es posible configurar una interfaz para el ejercicio de los derechos individuales, con un sistema de seguimiento y distribución automática de las solicitudes de ejercicio de derechos según su finalidad.

Esta organización es tanto más recomendable cuanto que el responsable del tratamiento debe actuar ante las solicitudes de las personas que ejercen sus derechos lo antes posible y, en todo caso, en el plazo de un mes desde su recepción. demanda.

6 / Garantizar la seguridad de los datos recabados

El responsable del tratamiento debe recurrir a un subcontratista que ofrezca garantías suficientes en materia de seguridad. El subcontratista debe garantizar un nivel suficiente de seguridad con respecto a la naturaleza de los datos recopilados para el controlador (artículo 32 del RGPD).

En la práctica, el subcontratista juega un papel fundamental en la medida en que, muy a menudo:

- garantizará la implementación efectiva del procesamiento de datos personales;

- Posee el conocimiento y el dominio técnico de la solución comercializada.

En caso de violación de datos, el subcontratista también debe ayudar al controlador de datos a cumplir con sus obligaciones de notificar a la CNIL y comunicarse con el interesado en su caso.

Asesoramiento de la CNIL

Es recomendado :

- exigir al proveedor de servicios que comunique su política de seguridad de los sistemas de información;

- Asegurar y documentar la efectividad de las garantías ofrecidas por el subcontratista en materia de protección de datos.

Por ejemplo, las partes pueden implementar los siguientes medios (supervisándolos contractualmente si es necesario): auditorías de seguridad, visita de instalaciones, certificaciones de la organización, certificación de las habilidades del DPO.

Tanto el responsable del tratamiento como el encargado del tratamiento pueden imponer una obligación contractual de confidencialidad a sus empleados y asegurarse de que conocen los principios fundamentales de la protección de datos.

También se recomienda que el responsable del tratamiento y el subcontratista impongan una obligación contractual de confidencialidad a sus empleados y se aseguren de que conocen los principios fundamentales de la protección de datos.

Finalmente, es necesario limitar el acceso únicamente a los autorizados en razón de sus funciones, y distinguiendo entre las distintas operaciones que se pueden realizar sobre los datos (consulta, modificación, borrado, exportación, etc.).

> Recomendaciones para empresas que estén considerando suscribirse a servicios de computación en la nube
https://www.cnil.fr/sites/default/files/typo/document/Recommandations_pour_les_entreprises_qui_envisagent_de_souscrire_a_des_services_de_Cloud.pdf

> Guía de subcontratistas
https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf

Virginie Gastine Menou
RIESGOS Y USTED

"Asistencia personalizada en el complejo camino hacia el cumplimiento"


https://www.linkedin.com/company/risques-et-vous

¡Comparte el artículo en las redes!

Artículos reciente:

Nombramiento - Elena Sokolovskaya

Riesgo y fraude | Pagos | Fintech LinkedIn Presenta una oferta de trabajo: https://graces.community/recruters/ Consulta las ofertas que más te convengan: https://job.graces.community/login

FMI: Perspectivas económicas regionales en Europa

Este informe describe los desarrollos recientes y las perspectivas económicas de los países de varias regiones. También se ocupa de las políticas que conducen a resultados económicos regionales y especifica los problemas a los que se enfrentan los responsables de la toma de decisiones.

FMI: Monitor Fiscal

Acción presupuestaria para combatir la pandemia COVID-19
Una hoja de ruta para las medidas presupuestarias a tomar durante las diferentes fases de la pandemia
Inversiones públicas para la recuperación

es_ESEspañol
es_ESEspañol fr_FRFrançais en_USEnglish