Lo que nadie se atreve a decirte sobre la comunicación de datos a terceros

El control laboral con cámaras es legal solo si la empresa informa al empleado
El control laboral con cámaras es legal solo si la empresa informa al empleado
28 marzo, 2019
Los 6 pasos que el Reglamento General de Protección de Datos (GDPR) te indica para proteger tus impresoras
Los 6 pasos que el Reglamento General de Protección de Datos (GDPR) te indica para proteger tus impresoras
29 abril, 2019
Mostrar todo
Lo que nadie se atreve a decirte sobre la comunicación de datos a terceros

La cesión de datos y prestación de servicios

No toda comunicación o revelación de datos a un tercero implica una cesión de datos a efectos legales. En este sentido, cabe distinguir dos supuestos:

  • La cesión de datos propiamente dicha.
  • El acceso a datos para la prestación de un servicio.

Habrá una cesión de datos si el tercero que recibe los datos puede aplicarlos a sus propias finalidades, decidiendo sobre el objeto y finalidad del tratamiento.

Ejemplo
Si usted decide vender o alquilar su base de datos de clientes a un tercero (por ejemplo, para que este envíe publicidad de sus propios productos o servicios), habrá una cesión de datos, en la que su empresa será el cedente y el tercero el cesionario. En este caso, usted deberá cumplir los requisitos legales de la cesión de datos.

En cambio, si quien recibe los datos se limita a efectuar determinadas operaciones sobre ellos, pero no decide sobre su finalidad, existirá un acceso a datos para la prestación de un servicio.

Ejemplo
Si su empresa encarga la gestión de las nóminas a un asesor externo y para ello comunica los datos personales de sus trabajadores a dicho asesor, existirá un acceso a datos necesario para la prestación de un servicio, en el que su empresa será el responsable del tratamiento de estos datos y el asesor será el encargado del tratamiento (pero no un cesionario de los datos).

Requisitos para la cesión de datos

Para ceder datos de forma lícita su empresa deberá contar con alguna de estas bases jurídicas:

  • Que cuente con el consentimiento previo, específico e inequívoco de los titulares de dichos datos.
  • Que la cesión sea necesaria para la ejecución o desarrollo de una relación contractual.
  • Que constituya una obligación legal para el cedente.
  • Que obedezca a intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos.
  • Que sirva para salvaguardar el interés vital del interesado o de otras personas.

Requisitos del acceso a datos para la prestación de un servicio

La realización de una prestación de servicios con acceso a datos requiere la existencia de un contrato escrito que establezca expresamente las obligaciones del encargado del tratamiento. Con el RGPD, la responsabilidad última sobre el tratamiento sigue estando atribuida al responsable, que es quien determina la existencia del tratamiento y su finalidad. Ahora bien, el RGPD introduce cambios importantes en las relaciones responsable-encargado que su empresa deberá tomar en consideración independientemente de la posición que ocupe en el tratamiento de los datos.

De esta manera, si su empresa es el responsable:

  • Tendrá que elegir únicamente encargados que ofrezcan garantías suficientes de que aplicarán medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con el RGPD. Este requisito también se aplica a los encargados cuando subcontraten operaciones de tratamiento con otros subencargados.
  • Es aconsejable que exija una declaración por escrito de dicho encargado conforme cumplirá las exigencias del RGPD y que le solicite, además, una prueba del cumplimiento del RGPD antes de firmar el contrato y durante su vigencia.

Si, en cambio, su empresa es el encargado del tratamiento, tenga en cuenta:

  • Considere la necesidad o conveniencia de mantener un registro de las actividades del tratamiento.
  • Su empresa tendrá que determinar las medidas de seguridad aplicables a los tratamientos que realice.
  • Deberá designar un delegado de protección de datos en los casos previstos por el RGPD.
  • Si destina los datos a una finalidad distinta a la establecida en el contrato suscrito con el responsable (o si los comunica o utiliza incumpliendo las estipulaciones de dicho contrato), responderá de las infracciones, pues se le considerará un responsable del tratamiento a estos efectos.
  • Respecto a los contratos entre responsable y encargado firmados con anterioridad al 25 de mayo de 2018, la nueva ley LOPD prevé que dichos contratos sigan vigentes hasta su vencimiento; y si el contrato es de duración indefinida, hasta mayo de 2022.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *