Obligacions dels destinataris de dades (cessions)

11/07/2019 | Josep Aragonés Salvat


Obligacions dels destinataris de dades (cessions)

El GDPR estableix l'obligació de signar un contracte d'accés a dades amb els ET (art 28.3), és a dir, amb les entitats que contractem perquè ens prestin un servei, i que per aquesta prestació de servei necessiten accedir a les dades dels que som RT (dels nostres empleats, clients, pacients, alumnes, afiliats, etc.), però en cap altre article s'estableix explícitament l'obligació de signar un contracte amb els DESTINATARIS de dades, és a dir amb les empreses a les quals els cedim dades personals.

No obstant això, atenent al principi de responsabilitat proactiva (o responsabilitat demostrable) de l'GDPR, que es podria definir com la necessitat que el responsable del tractament garanteixi no només el compliment del Reglament, sinó que a més sigui capaç de demostrar aquest compliment; el pertinent seria que quan portem a terme una cessió de dades de caràcter personal a una tercera entitat, aquesta cessió quedi regulada contractualment.
A través d'aquest contracte, qualsevol de les parts podria demostrar que la cessió de dades és lícita. En aquest contracte, entre altres termes, s'han d'establir obligacions per a les dues parts:

 

Obligacions de l'RT emissor de dades a un Destinatari

  • Informar de la cessió de dades a l'interessat per ser necessari per assolir els fins del tractament (art. 13.1.e).
  • Protegir aquestes dades en la mesura que ha d'informar al destinatari que només els pot tractar per a la finalitat autoritzada per l'interessat i que a partir de la transmissió serà RT dels mateixos (art. 24.1 i 2).


Obligacions del Destinatari receptor de dades

  • Garantir que les dades s'han obtingut lícitament (art. 6) i que s'ha informat de la cessió a l'interessat (art. 13.1.e).
  • Informar dels fins a què es destinen les dades a l'interessat, que han de coincidir amb els autoritzats per l'interessat (art. 14.1.c).
  • Comunicar la informació del tractament a l'interessat en els terminis que estableix el Reglament (art. 14.3).
 

Contracte de Destinatari de dades


Per poder demostrar qualsevol de les parts que la cessió de dades és lícita és recomanable establir un contracte o acord on s'especifiquin aquests termes, excepte quan el destinatari és una autoritat o organisme públics en l'exercici de les seves funcions públiques basades en la legislació vigent ( art. 14.5.c).
La mateixa autoritat de control (AEPD), en la seva Guia pràctica per a les Avaluacions d'Impacte, en el seu Annex VI: Catàleg d'amenaces i possibles solucions (pàg. 51) estableix "si es cedeixen dades personals, establir per escrit acords que contemplin les condicions sota les que es produeix la cessió i, si s'escau, les relatives a cessions ulteriors així com les possibilitats de supervisió i control del compliment de l'acord "; pel que recomanem que es signin aquests contractes que generem en la nostra aplicació, amb els destinataris de dades.
 


Font: AEPD


Per tot l'exposat, creiem que és més que aconsellable, que cada vegada que cedim dades de caràcter personal, dels que som responsables a un tercer, signem amb aquest un contracte de cessió de dades o DE DESTINATARI de dades i en el cas que siguem nosaltres els DESTINATARIS, el contracte hauria de ser obligatori ja que el receptor de les dades ha de poder demostrar la licitud d'un tractament de dades no obtinguts directament de la persona interessada.

 

Normativa relacionada:


Article 24 Responsabilitat del responsable del tractament

1. Tenint en compte la naturalesa, l'àmbit, el context i les finalitats del tractament així com els riscos de diversa probabilitat i gravetat per als drets i llibertats de les persones físiques, el responsable del tractament aplicarà mesures tècniques i organitzatives apropiades per tal de garantir i poder demostrar que el tractament és conforme amb el present Reglament. Aquestes mesures s'han de revisar i actualitzar quan sigui necessari.
2. Quan siguin proporcionades en relació amb les activitats de tractament, entre les mesures esmentades a l'apartat 1 s'ha d'incloure l'aplicació, per part del responsable del tractament, de les oportunes polítiques de protecció de dades.
 
Article 13 Informació que s'ha de facilitar quan les dades personals s'obtinguin de l'interessat

1. Quan s'obtinguin d'un interessat dades personals relatives a ell, el responsable del tractament, en el moment en què aquests s'obtinguin, li facilitarà tota la informació indicada a continuació:
... e) els destinataris o les categories de destinataris de les dades personals, si escau;
 
Article 14 Informació que s'ha de facilitar quan les dades personals no s'hagin obtingut de l'interessat

1. Quan les dades personals no s'hagin obtinguts de l'interessat, el responsable del tractament li facilitarà la informació següent:
... c) els caps del tractament a què es destinen les dades personals, així com la base jurídica del tractament;

... 3. El responsable del tractament ha de facilitar la informació indicada en els apartats 1 i 2:
a) dins d'un termini raonable, un cop obtingudes les dades personals, i com a molt tard d'aquí a un mes, tenint en compte les circumstàncies específiques en què es tractin aquestes dades;
b) si les dades personals han de utilitzar-se per comunicació amb l'interessat, com a molt tard en el moment de la primera comunicació a dit interessat, o
c) si està previst comunicar-les a un altre destinatari, com a molt tard en el moment en què les dades personals siguen comunicades per primera vegada.
.... 5. Les disposicions dels apartats 1 a 4 no són aplicables quan i en la mesura que:
c) l'obtenció o la comunicació estigui expressament establerta pel Dret de la Unió o dels estats membres que s'apliqui al responsable del tractament i que estableixi mesures adequades per protegir els interessos legítims de l'interessat.