El responsable del tratamiento exigirá al encargado que pruebe sus garantías
La transferencia fuera de la UE no podrá rebajar el nivel de protección
La transferencia fuera de la UE no podrá rebajar el nivel de protección
La empresa que contrate o encargue a otra el tratamiento de datos deberá asegurarse de que ésta tiene las medidas técnicas y organizativas adecuadas para garantizar los niveles de seguridad y la protección de los derechos exigidos por el Reglamento General de Protección de Datos (RGPD). Unas garantías que podrán demostrarse a través de certificados de protección de datos o la adhesión a códigos de conducta.
Así lo determinan las Directrices del Grupo de Trabajo del Artículo 29 -foro que integra a las autoridades nacionales y europeas de privacidad- que ofrecen las pautas sobre el contenido y la forma que debe tener el contrato entre el responsable del tratamiento -la empresa u organización contratante- y el encargado del mismo -la empresa contratada-.
El documento, difundido por la Agencia Española de Protección de Datos (AEPD), se encuadra dentro de los materiales que se están poniendo a disposición de las empresas de cara a la entrada en vigor del RGPD en mayo de 2018, y que supone una revolución en la concepción de la privacidad.
De acuerdo con el mismo, el responsable del tratamiento debe exigir al encargado «garantías suficientes» en relación a «conocimientos especializados, fiabilidad y recursos» que le permitan cumplir con todos los requisitos del procesamiento de datos, especialmente las medidas de seguridad.
La relación entre el responsable y el encargado deberá formalizarse a través de un contrato o un acto jurídico similar que, en todo caso, debe constar por escrito y en formato electrónico.
Una de las novedades que introduce el RGPD es que dicha relación también puede regularse a través de un acto jurídico unilateral del responsable del tratamiento, como es el caso de una resolución administrativa.
Fuente : eleconomista.es
Fuente : eleconomista.es