El Reglamento General de Protección de Datos exige que se especifiquen una serie de aspectos en el contrato entre el responsable y el encargado del tratamiento. Entre estos aspectos se encuentran el objeto, la duración, la naturaleza y finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable”.

La AEPD ha emitido unas directrices para la elaboración de los contratos entre responsables y encargados del tratamiento. Entre estas directrices, nos encontramos con el apartado de las mediadas de seguridad, donde el encargado del tratamiento debe ayudar al responsable a cumplir con las obligaciones de seguridad y de evaluación de impacto relativa a la protección de datos.

Las medidas de seguridad

El acuerdo debe establecer la obligación del encargado de adoptar todas las medidas de seguridad necesarias, de conformidad con lo establecido en el artículo 32 del RGPD.

1.- Corresponde al responsable del tratamiento realizar la evaluación de riesgos para determinar las medidas de seguridad apropiadas.

2.- Evaluar los posibles riesgos derivados del tratamiento, teniendo en cuenta los medios utilizados (tecnologías, recursos etc.) y otras circunstancias que puedan incidir en la seguridad.

3.- Por otro lado, teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y las libertades de las personas físicas, el responsable y el encargado del tratamiento establecerán las medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado al riesgo existente que, en su caso, incluyan, entre otros:

a) La seudoanimización y el cifrado de datos personales;
b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y
resiliencia permanentes de los sistemas y servicios de tratamiento;
c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico;
d) Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Obligación del encargado de proporcionar al responsable, información que se precisa para demostrar el cumplimiento de sus obligaciones

Otra obligación importante del encargado del tratamiento, es la de poner a disposición del responsable la información que sea precisa para demostrar el cumplimiento de estas obligaciones, e incluso permitirle realizar auditorías con esta finalidad.

Se trata de una exigencia impuesta por el reglamento a los responsables, enmarcado en el principio de responsabilidad proactiva de éstos. Y este principio de responsabilidad proactiva, se extiende también al encargado, que tiene el deber de informar al responsable, en caso que una de las instrucciones que le sean trasladas vaya en contra de los dispuesto en el Reglamento.

 

Comparte este post en:

¿Tienes alguna duda? Envíanos un correo y contactaremos contigo de inmediato. Consulta aquí

Written by carlos guerrero

1 Comment

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*