Cómo alcanzar acuerdos de uso compartido de datos [RGPD, Medida 15]

El Reglamento General de Protección de Datos (RGPD), presentado por la Unión Europea, entró en vigor el 25 de mayo de 2018. El texto exige responsabilidades tanto de las organizaciones como de sus proveedores en materia de protección de datos de los interesados. Con el fin de garantizar dicha transparencia y asignar unas responsabilidades claras a las partes implicadas, deben pactarse los acuerdos de uso compartido de datos correspondientes.

Hace poco en Talend celebramos un webinar a petición, Medidas prácticas para cumplir el RGPD, centrado en un exhaustivo plan de 16 medidas para hacer efectivo un programa de gobernanza de datos compatible con la conformidad con el RGPD.

La medida 15 de este plan consiste en alcanzar acuerdos de uso compartido de datos. Para consultar cuáles son las catorce primeras medidas, eche un vistazo a los enlaces de la barra lateral.

Watch Practical Steps to GDPR Compliance now.
Watch Now

La perspectiva del RGPD sobre los acuerdos de uso compartido de datos

El RGPD es de aplicación tanto a los responsables (entidades que determinan la finalidad y el medio de tratamiento de los datos de carácter personal) como a los encargados (entidad que trata los datos de carácter personal en nombre de un responsable) de datos personales. El responsable suele ser la organización que recaba datos personales y registra los usos que se les da con fines comerciales. «Encargado» es un término que se utiliza para referirse al proveedor al que el responsable externaliza parte del negocio. Durante el proceso de externalización, al encargado también se le concede acceso a los datos personales.

Esta colaboración suscita preguntas como: «Si se produce una violación de datos personales, ¿quién ostenta la responsabilidad?»

Para abordar esta y otras preguntas relevantes, el RGPD hace hincapié en la necesidad de crear acuerdos de uso compartido de datos.

El artículo 28.3 del RGPD exige que todas las actividades de tratamiento realizadas por un encargado se rijan por un contrato con el responsable. Dicho contrato debería estipular las condiciones de uso de los datos personales, como por ejemplo:

  • El objeto
  • La duración del tratamiento
  • La naturaleza y la finalidad del tratamiento
  • El tipo de datos personales
  • Las categorías de interesados
  • Las obligaciones y derechos del responsable

El artículo 28.4 recoge que, cuando un encargado del tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del responsable, se impondrán las mismas obligaciones de protección de datos. En caso de incumplimiento, el artículo prevé que «si ese otro encargado incumple sus obligaciones de protección de datos, el encargado inicial seguirá siendo plenamente responsable ante el responsable del tratamiento por lo que respecta al cumplimiento de las obligaciones del otro encargado».

Para confirmar dichas obligaciones legales, según el RGPD es obligatorio que los responsables celebren contratos de uso compartido de datos con sus encargados.

4 ejes principales de los acuerdos de uso compartido de datos

Los equipos de gobernanza de datos desempeñan un papel fundamental en el establecimiento de acuerdos de uso compartido de datos. Deben garantizan que los equipos de asesoramiento y cumplimiento jurídicos autoricen con anterioridad cualquier movimiento de datos personales pertenecientes a un ciudadano de la UE de un país a otro, de una organización a un proveedor y de un proveedor a un encargado posterior.

Estos son algunos de los ejemplos en un sentido amplio que deben quedar cubiertos por los contratos.

1. Respeto de las normas de protección de datos

Los acuerdos de uso compartido de datos deben exigir al encargado que disponga de la infraestructura y los sistemas adecuados con el fin de proteger los datos personales de los interesados. Esto incluye el mantenimiento de un registro de todas las actividades de tratamiento y la cláusula de «olvido» de todos los datos una vez vencido el contrato o en caso que el interesado opte por ser olvidado.

2. Consentimiento previo a la externalización

Los proveedores no podrán externalizar datos personales sin el consentimiento del responsable. Los contratos deben ser evaluados y redactados de nuevo para incluir a los encargados posteriores, en caso de que se necesiten.

3. Situaciones de incumplimiento

Los contratos deberán prever contextos de incumplimiento y estipular funciones, atribuciones y responsabilidades claras para esos casos. Si un encargado descubre un incumplimiento, deberá informar al responsable de inmediato y ofrecer una asistencia adecuada para abordar las consecuencias de dicha infracción.

4. Evaluación de riesgos

Los responsables deben realizar una evaluación de riesgo de proveedor con el fin de garantizar que el proveedor disponga de los medios y la voluntad de cumplir la normativa de protección de datos. Los resultados de la evaluación deben documentarse antes de iniciar la relación comercial y previamente a compartir cualquier dato de carácter personal.

Del mismo modo, los encargados deberán realizar auditorías frecuentes para afianzar la confianza continua en el proveedor. Dichos resultados también deberán documentarse, junto con los informes de evaluación de riesgo, con vistas a confirmar que un responsable ha actuado con la debida diligencia para salvaguardar la confidencialidad de los datos personales.

Download A 16 Step Data Governance Plan for GDPR Compliance now.
Download Now

Próximos pasos para alcanzar acuerdos de uso compartido de datos

Los acuerdos de uso compartido de datos son documentos legales complejos. No obstante, estos contratos no solo pueden evitar situaciones complicadas en caso de incumplimiento de la normativa de datos, sino también ayudar a proteger los datos personales, que es el objetivo primordial del RGPD. Talend Metadata Manager puede contribuir a captar dichos acuerdos de uso compartido semánticamente, así como hacer un seguimiento de la ubicación física y el movimiento de los datos dentro de un entorno de datos.

La próxima medida del exhaustivo plan de 16 medidas de Talend a efectos del RGPD consiste en exigir el cumplimiento de los controles previstos en el RGPD.

Para obtener más información y consultar las 16 medidas en su totalidad, no se pierda el webinar a petición: Medidas prácticas para cumplir el RGPD. El vídeo aborda información sobre la creación de normas y controles, la identificación de titulares de datos y elementos de datos críticos, la realización de evaluaciones de riesgo, la mejora de la calidad de datos y mucho más.

| Last Updated: agosto 12th, 2019