El derecho a la privacidad y a proteger los datos personales siempre ha sido fundamental para cada ciudadano. Recordemos que, cada persona tiene la facultad de controlar, disponer y decidir sobre sus datos, entre ellos, podemos destacar: nombre y apellido, firma, lugar o fecha de nacimiento, datos de contacto, laborales, biométricos, de salud, entre otros.
Como sabemos, desde que se empezaron a realizar estrategias de marketing, principalmente con el marketing telefónico, estos datos se volvieron un elemento de gran importancia para las empresas. Básicamente, porque con ellos podían llegar de una forma directa a una gran cantidad de personas. No obstante, esto también supone un riesgo para la seguridad y la integridad de los ciudadanos, ya que un uso inadecuado, puede derivar en estafas, suplantación de identidad y extorsión.
En los últimos años, debido al auge de las redes sociales y de las diferentes plataformas digitales, la protección de datos personales ha tomado una importancia aún mayor. Cada día son más los casos de infiltración de información, uso indebido y estafas por parte de cibercriminales, lo que ha generado que se deban tomar medidas para el cuidado de los internautas.
En nuestro país, se han establecido dos instrumentos legales para garantizar la seguridad de los usuarios y proteger sus datos personales frente a cualquier empresa que los tenga en su poder. Ellos son la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) y el Reglamento General de Protección de Datos (RGPD). Si bien es cierto, el primero es para el ámbito nacional y el segundo es un reglamento europeo, las empresas solo podrán tener actividad si cumplen con ambos lineamientos legales.
Si bien es cierto, estos reglamentos ya tienen un buen tiempo, todavía existen algunas dudas sobre las obligaciones que supone para las empresas y organizaciones. De hecho, uno de los elementos menos entendidos es sobre el contrato de encargado del tratamiento. Por ello, en este artículo queremos ayudarte a despejar las principales dudas sobre el tema. Aunque, lo más recomendable es siempre acudir a consultoras como PRODAT, empresa especializada en la protección de datos.
¿Qué es el contrato de encargado de tratamiento?
Ya mencionamos que la RGPD es una normativa de cumplimiento obligatoria para todas las empresas que tengan algún tratamiento de datos con personas que pertenezcan a la Unión Europea. Desde el 25 de mayo del 2018, esta norma ha sido una de las principales preocupaciones para las empresas. Seguidamente, el 4 de diciembre de 2018 entró en vigencia la LOPDGDD, ratificando así, que la protección de datos personales es prioridad para cualquier organización.
Como sabemos, la externalización de servicios es cada vez más frecuente dentro del plano digital, se trata de una de las maneras más eficientes de gestionar de manera efectiva y totalmente digitalizadas, una serie de operaciones cotidianas en las empresas. Cada día son más las organizaciones que contratan servicios de gestoría, servicios en la nube, CRM para la gestión de nóminas y más.
En este sentido, es normal que los proveedores externos tengan acceso a todos los recursos y datos internos de la organización, principalmente datos confidenciales e información personal de clientes y usuarios. Un gran ejemplo de ello, son las empresas que brindan servicios de CRM para control de nóminas, quienes seguramente tendrán que contar con los datos personales y fiscales de los trabajadores.
Esto hace que la preocupación por la protección de datos sea mucho mayor. Así que, cuando se realiza la contratación de unos servicios, será necesario garantizar la seguridad y la confidencialidad de la información que el tercero podrá manejar. Para esto, lógicamente es necesario firmar un contrato de confidencialidad o NDA (Non-Disclosure Agreement). En este se establecerá de manera obligatoria, que estos proveedores externos tendrán que tratar con total confidencialidad, toda la información a la cual tendrán acceso y que no harán uso de ella para otro fin que no sea el del contratado.
Por otro lado, también se deberá proteger los datos personales de clientes que generalmente se necesitan para realizar alguna actividad de la empresa. Por ejemplo, nombres o datos de usuarios, documentos de identidad (DNI), información de contacto (e-mail o teléfono) y por supuesto, otros más sensibles como datos bancarios y dirección.
Entonces, de acuerdo a la LOPDGDD, se necesita un contrato donde el responsable (la empresa que contrata), firme la responsabilidad y el encargado del tratamiento (la empresa proveedora del servicio), un contrato o acto jurídico de igual condiciones, para respetar y proteger dicha información.
Para entender mejor esto, definamos cada uno de los términos antes mencionados:
- Responsable del tratamiento: persona física, jurídica, autoridad pública u organismo que solo o en conjunto, determina los fines y medios del tratamiento. Dicho de otra manera, las empresas que contratan a terceros para la gestión de operaciones que requieran datos personales.
- Encargado del tratamiento: persona física, jurídica, autoridad pública u organismo que solo o en conjunto, use y trate los datos personales por solicitud del responsable. Es decir, una empresa u organización contratada para la gestión de operaciones con datos personales.
Posibles sanciones por incumplimiento a la protección de datos
Antes de conocer las posibles sanciones por protección de datos, es necesario conocer las obligaciones tanto de los responsables, como de los encargados del tratamiento. En cuanto al responsable por tratamiento de datos, su función principal es garantizar el tratamiento de las normativas antes mencionadas, desde la recopilación, gestión, acceso, hasta la revocación de los datos personales.
Estos inicialmente deben recibir un consentimiento explícito de los individuos para tratar sus datos personales, así como almacenar cualquier documento que acredite el mencionado consentimiento. Así mismo, se debe garantizar que el usuario tendrá la posibilidad de revocar el permiso al acceso a sus datos personales cuando guste. En caso de existir algún tipo de violación al acceso de los datos personales, este deberá comunicarlo en un lapso no mayor a 72 horas.
Como debemos imaginar, los responsables deberán exigir a los encargados del tratamiento de datos, que trabajen respetando el RGPD, recibiendo también los certificados que así lo demuestren.
En cuanto a las obligaciones del encargado del tratamiento, estos deben garantizar que no se hará uso de ninguna información personal recibida para un fin diferente al solicitado por el responsable. Además, ante cualquier solicitud de devolución o eliminación de datos, el encargado debe proceder. De existir alguna violación en el acceso a los datos, este deberá notificarlo de manera inmediata.
Ahora bien, en caso de existir algún incumplimiento de lo mencionado, según los especialistas en protección de datos PRODAT, los implicados podrían recibir una multa administrativa de hasta 10 millones de euros como máximo. Si se tratase de una empresa, la sanción será con una cuantía equivalente al 2% del máximo del volumen del negocio anual.
Como hemos visto, resulta de total necesidad para todas las empresas tener una verdadera política de protección de datos, por lo que el contrato de encargado de tratamiento debe ser realizado por especialistas que velen porque hayan garantías suficientes sobre un correcto uso de la información.
También podría interesarte: Las mejores ventajas del crowdlending para las pymes en España
