Respuesta
Otra persona (física o jurídica o cualquier otro organismo) puede tratar datos personales por usted siempre que exista un contrato u otro acto jurídico. Es importante que el encargado que designe ofrezca garantías suficientes en cuanto a la aplicación de medidas técnicas y organizativas apropiadas para asegurar que el tratamiento se ajustará a las normas del Reglamento general de protección de datos (RGPD) y para garantizar la protección de los derechos de las personas.
El encargado designado no puede designar posteriormente a otro encargado sin su autorización previa específica o general por escrito.El contrato o acto jurídico entre usted y el encargado deberá incluir cláusulas como las siguientes:
- el tratamiento únicamente puede realizarse siguiendo instrucciones documentadas del responsable,
- el encargado garantiza que las personas autorizadas para tratar los datos personales se han comprometido a respetar la confidencialidad o están sujetas a una obligación de confidencialidad de naturaleza estatutaria,
- el encargado debe ofrecer un nivel de seguridad mínimo definido por el responsable,
- el encargado debe asistirle a fin de garantizar el cumplimiento del RGPD.
Ejemplos
Una empresa de construcción utiliza a un subcontratista para determinadas obras, al que facilita la información de contacto de los clientes cuando debe realizar las obras. El subcontratista utiliza, además, los datos para enviar material de mercadotecnia a los clientes. En este caso, el subcontratista no puede considerarse simplemente un «encargado» en virtud del RGPD, puesto que no trata los datos únicamente por cuenta de la empresa de construcción, sino también para sus propios fines. El subcontratista actúa, por tanto, como «responsable del tratamiento».
Usted es una empresa minorista que decide conservar una versión de seguridad de la base de datos de sus clientes en un servidor en la nube. A este fin, firma un contrato con un proveedor de servicios en la nube conocido por sus normas de protección de datos y que cuenta también con un sistema certificado de cifrado de datos. El proveedor de la nube es su encargado del tratamiento, porque, al conservar los datos personales de sus clientes en los servidores, estará tratando los datos personales por su cuenta.
Referencias
Examples
A construction company is using a sub-contractor for specific construction work, and provides it with the contact details of the clients where the construction work needs to be done. The sub-contractor further uses the data to send the clients marketing material. The sub-contractor in that case doesn’t qualify merely as a ‘processor’ under the GDPR as the sub-contractor is not only processing personal data on behalf of the construction company, but also further processing it for its own purposes. The sub-contractor is therefore acting as a ‘data controller’.
You’re a retail company that decides to store a back-up version of your client database on a cloud server. To that end you enter into a contract with a cloud provider known for its data protection standards and which also has a certified system of encryption of data. The cloud provider is your processor as by storing the personal data of your clients in its servers it will be processing personal data on your behalf.