Artículo 28 del RGPD: Subcontratistas

El artículo 28 del RGPD regula las relaciones entre a controlador de datos y un subcontratista quien procesa datos en su nombre. Impone estrictas obligaciones contractuales para garantizar la conformidad del tratamiento subcontratado.

Explicación del artículo 28 del RGPD

El responsable del tratamiento de datos sólo podrá utilizar subcontratistas que ofrezcan garantías suficientes en materia de protección de datos.

A contrato escrito Debe enmarcar la relación y contener en particular:

La finalidad, duración, naturaleza y finalidad del tratamiento;
Los tipos de datos y categorías de personas interesadas;
Las obligaciones del subcontratista, incluyendo confidencialidad, seguridad, asistencia en caso de solicitud, restitución o supresión de datos, auditabilidad, etc.

¿Por qué es importante este artículo para su cumplimiento del RGPD?

Los responsables del tratamiento de datos permanecen totalmente responsable datos, incluso en el caso de subcontratación. Por tanto, la elección y el seguimiento de los subcontratistas son elementos cruciales para garantizar el cumplimiento general de su organización.

¿Cómo cumplir con el artículo 28 del RGPD?

Evalúa las garantías proporcionadas por tus subcontratistas (certificaciones, prácticas documentadas...).
Concluir uno Contrato de subcontratación del RGPD conforme.
Seguir periódicamente las prácticas de los subcontratistas (auditorías, revisiones de cumplimiento).
Asegúrese de que no se realice ningún procesamiento sin la autorización del responsable del tratamiento.

Ejemplos de aplicación del artículo 28 del RGPD

Una empresa confía el alojamiento de sus datos a un proveedor de nube: se firma un contrato de subcontratación GDPR.
Una empresa de recursos humanos subcontrata el procesamiento de nóminas a un proveedor de servicios: verifica las garantías de seguridad y confidencialidad.
Una empresa utiliza un CRM subcontratado: regula el procesamiento a través de una cláusula específica en el contrato.