Deber de diligencia

Tiempo de lectura, 3 minutos

La responsabilidad sobre los datos personales se mantiene al contratar servicios externos, si hay comunicación de esos datos. Una situación ya presente en la anterior directiva. El Encargado de Tratamiento, no obstante, tiene sus propias y relevantes obligaciones.

El RGDP denomina responsable a la persona física o jurídica que decide sobre los finalidades y medios con que se tratan los datos personales. Y encargado a la que lo ejecuta materialmente, por cuenta del responsable. El responsable elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas. Es decir, el responsable que contrate a un tercero (encargado) para que procese datos personales está sujeto al deber de diligencia y sigue ligado a la responsabilidad sobre los datos personales a su cargo, incluso ante errores y descuidos en que incurra el encargado.

Caso habitual de encargado es el gestor que procesa las nóminas y trámites asociados. Y la cadena de encargados suele seguir: proveedor de software, alojamiento en la nube, copias de seguridad externas,… cuatro eslabones, todos afectos a la responsabilidad de quien ha decidido quién será el gestor.

¿Cómo elegir?

Ignorar lo anterior es incurrir en riesgo, precisamente el que queríamos evitar al subcontratar. Dos son los caminos para elegir al encargado:

  • Asignar a un consultor para evaluar a los gestores candidatos, en su capacidad para cumplir con el RGPD, en sus dos vertientes: normativa y ciberseguridad.
  • Elegir a un gestor que demuestre estar certificado o adherido a un código de conducta (de su gremio, patronal, asociación, …).

Como consecuencia, los gestores de un cierto tamaño deberán considerar cambios tecnológicos y organizativos en su negocio hasta hace poco sólo asequibles a empresas con músculo. Y, posiblemente, contratar los servicios de un delegado de protección de datos, figura obligada en muchos casos y recomendable en otros. Externalizar servicios tiene implicaciones que conviene aquilatar.

La responsabilidad, aún residiendo en el responsable, se transmite al encargado en diversos supuestos, entre los que se encuentra la prueba de que el responsable ha sido ajeno a la irregularidad cometida y los acuerdos escritos que medien entre ambos.

Antonio March | amc@datium.eu
Abril 2018