¿Cuáles son las obligaciones del RGPD de las empresas subcontratistas?

Un subcontratista puede definirse como cualquier persona que procesa datos personales en nombre y bajo la dirección del responsable del tratamiento. El subcontratista se distingue del responsable del tratamiento que define los medios y finalidades del tratamiento.

Por ejemplo: el responsable del tratamiento debe pagar a sus empleados y generar recibos de sueldo. Puede optar absolutamente por delegar esta misión a un tercero. La persona jurídica que procesa los datos personales para garantizar la gestión de la nómina es entonces un subcontratista. Realiza el tratamiento de datos para el responsable del tratamiento.

También puedes ver nuestra repetición seminario web sobre el tema.

La respuesta a la encuesta: "¿El subcontratista debe llevar un registro de procesamiento? "  

Durante una encuesta realizada el 9 de noviembre en nuestra página de LinkedIn, le preguntamos si el subcontratista debe llevar un registro de procesamiento.

¡Eras fuerte! De 157 votantes, el 92% votó sí. De hecho, esta es la respuesta correcta: el subcontratista debe llevar un registro de tramitación.

El artículo 30 del RGPD exige que el subcontratista lleve un llamado registro de subcontratación. Esto es similar al registro de procesamiento que se incluye dentro de las actividades del responsable del tratamiento de datos. Sin embargo, estos registros no contienen exactamente la misma información. La información que debe figurar en el registro de subcontratación según el RGPD es la siguiente:

· identidades del responsable del tratamiento y del subcontratista,

· categoría de tratamiento,

· transferencia fuera de la Unión Europea,

· medidas de seguridad implementadas.

¿Cuáles son las obligaciones del subcontratista?

1. La obligación de transparencia y trazabilidad

El subcontratista tiene la obligación de transparencia y trazabilidad de los datos hacia el responsable del tratamiento que le delega toda o parte de su actividad. El artículo 28 del RGPD recomienda establecer un contrato entre las partes que establezca sus obligaciones recíprocas.

El procesador debe demostrar sus esfuerzos de cumplimiento al controlador realizando auditorías y manteniendo un registro de subcontratación, por ejemplo.

El procesador debe garantizar que los datos se procesen de acuerdo con las instrucciones del controlador.

2. La obligación de respetar los principios esenciales del RGPD

El subcontratista debe asegurarse de que las herramientas que utiliza respeten los principios de privacidad por diseño y privacidad por defecto. Es decir que desde su diseño y por defecto respetan el RGPD.

3. La obligación de garantizar la seguridad de los datos que se tratan

El subcontratista deberá garantizar que los datos que utiliza sean tratados de forma que se pueda garantizar un nivel adecuado de seguridad y confidencialidad en relación con los riesgos que el tratamiento entraña para las personas afectadas. Por tanto, debe aplicar medidas técnicas y organizativas capaces de garantizar dicho nivel de seguridad, aplicando en particular medidas de seguridad físicas y lógicas.

4. La obligación de alertar, asesorar y asistir  

El deber del subcontratista es asesorar al responsable del tratamiento sobre el uso de los datos. También deberá alertarlo en caso de riesgo, como en el caso de un incidente de seguridad. También deberá asistirle si fuera necesario en caso de solicitud de ejercicio de derechos.  En términos generales, está sujeto a la obligación de colaborar para ayudar al responsable del tratamiento de datos. Conviene definir con precisión en el contrato los términos y el alcance de esta colaboración para evitar cualquier dificultad el día de su implementación.  

Software Data Comply One (anteriormente Mission RGPD) y subcontratistas  

Con Data Comply One (anteriormente Mission RGPD), puede auditar a sus subcontratistas utilizando nuestros modelos de auditoría. También tienes la opción de crear tus propias auditorías personalizadas.
Si usted mismo es subcontratista, Data Comply One (anteriormente Mission RGPD) lo guía para crear su registro de subcontratación y su registro de incidentes.
¡No pierdas más tiempo, es muy sencillo!