GDPR 7. Empreses externes amb accés a dades


Josep Aragonés Salvat     01/09/2016

Quins tipus d'empreses externes existeixen que puguin tractar dades de les quals nosaltres som Responsables del tractament?

 
El GDPR defineix al Responsable del tractament com tota persona física o jurídica, autoritat pública, servei o organisme que, sol o conjuntament amb altres, determini els fins i els mitjans del tractament de dades personals.

El GDPR defineix un tractament de dades com qualsevol operació realitzada sobre dades personals: recollida, registre, organització, estructuració, conservació, adaptació o modificació, extracció, consulta, utilització, comunicació per transmissió, difusió, habilitació d'accés, confrontació o interconnexió, supressió o destrucció.

El Responsable del tractament, quan permet tractar dades personals a una empresa externa, ha de distingir quin tipus de tractament realitzarà per determinar la responsabilitat adquirida i signar el contracte d'accés a dades que li correspongui.

El tractament extern de dades personals es classifica en 4 tipus d'empreses:
 
  • Encarregat del tractament: empresa que tracta dades personals per compte (encàrrec) del Responsable del tractament.
  • Corresponsable del tractament: empresa que determina els fins i els mitjans del tractament conjuntament amb altres Responsables del tractament.
  • Destinatari de dades: empresa a la qual cedim o transmetem dades personals per a tractar-les pel seu compte.
  • Sense permís d'accés a dades: empresa que pot accedir a dades personals de manera accidental o fortuïta, sense permís exprés del Responsable del tractament.

 

Encarregat del tractament


L'Encarregat del tractament, en tractar dades per compte del Responsable, haurà d'oferir suficients garanties per implementar les polítiques tècnic-organitzatives que exigeix el GDPR.

També haurà de formalitzar un contracte amb el Responsable del tractament per determinar les seves funcions i el compromís de confidencialitat exigit tant amb el personal com en possibles subcontractacions autoritzades a altres empreses externes.

Exemples: Assessories laborals, fiscals o comptables; Prevenció de riscos laborals; Manteniment d'equips i aplicacions informàtiques; Còpies de seguretat externes; Seguretat o videovigilància; Destrucció de documents; Serveis jurídics; Qualsevol empresa de serveis que, per realitzar-los, requereixi l'accés a dades personals del Responsable; etc.

 

Corresponsable del tractament


Cada Corresponsable del tractament assumirà les funcions que se li assignen mitjançant un acord amb els altres Corresponsables que, conjuntament, determinen els fins i els mitjans del tractament, i en particular han d'establir les responsabilitats de cada un respecte al Reglament i els procediments i mecanismes per l'exercici dels drets dels interessats. Els aspectes essencials aquest acord s'han de posar a disposició dels interessats.

Exemples: Grups d'empreses, organitzacions, etc.; Societats empresarials; Fundacions dependents d'altres organitzacions; Empreses públiques dependents d'un organisme públic; Qualsevol Encarregat de tractament que determini les finalitats o els mitjans de tractament pel seu compte; etc.

 

Destinatari de dades


Els Destinataris de dades, en tractar les dades pel seu compte, es convertiran en Responsables del tractament i hauran de complir la normativa de protecció de dades com a tals.

Quan la cessió o transmissió de dades no estigui regulada per llei, hauran de formalitzar un contracte amb el Responsable del tractament que exposi que la cessió és lícita, sigui perquè s'ha obtingut el consentiment dels titulars de les dades (interessats), o perquè ho permet la legislació vigent.

Exemples: Asseguradores; Mútues d'accidents professionals; Vigilància de la salut; Subcontractes d'empleats; Qualsevol empresa que no hagi obtingut les dades directament de l'interessat (que els han estat transmeses per una altra empresa) i facturi directament a l'interessat; etc.
 


Sense permís d'accés a dades


Les empreses sense permís d'accés a dades no estan autoritzades a tractar dades, pel que serà el Responsable del tractament qui analitzi els riscos que puguin existir en realitzar el servei que hagi contractat.

En el cas de determinar que hi ha riscos, haurà de formalitzar un contracte on s'especifiqui que no té permís per accedir a les dades personals i que es compromet a establir acords de confidencialitat amb el personal que presta els serveis a l'empresa, per si, en l'exercici de la seva feina, accedissin de manera accidental o fortuïta a dades personals.

Exemples: Serveis de neteja; extintors; Manteniment d'instal·lacions; electricistes; lampistes; pintors; etc.
 
 

Seguiment del curs Expert en el GDPR


Tema anterior: 6. La responsabilitat del tractament     Tema següent: 8. L'Encarregat del tractament



Informació relacionada