Recomanacions per elaborar contractes adaptats a l’RGPD

Recomendaciones para elaborar contratos adaptados al RGPDEl Reglament General de Protecció de Dades especifica com ha de ser l’acord entre el responsable i l’encarregat de l’tractament. Per entendre les implicacions jurídiques d’aquesta relació, des del despatx d’advocats a Barcelona et donem recomanacions per elaborar contractes adaptats a l’RGPD. Coneix els punts clau i què fer per adaptar-te.

Què és el RGPD?

El Reglament General de Protecció de Dades (RGPD) és la normativa europea que regeix el tractament de les dades personals dels ciutadans. Garantint d’aquesta manera més seguretat i control sobre les seves dades personals.

Les noves normes exigeixen més transparència amb els usuaris sobre la recopilació i ús de les dades personals. Les empreses estan obligades a custodiar la informació de manera correcta, avaluar els riscos i prendre les mesures necessàries per protegir-la. Així mateix hauran de comunicar qualsevol bretxa de seguretat que sorgeixi. També apareix la figura del Delegat de Protecció de Dades, qui és l’encarregat d’avaluar els riscos i com solucionar-los.

El RGPD va entrar en vigència el maig de 2016 i la seva aplicació és obligatòria des de maig de 2018. Durant aquests dos anys les empreses han tingut temps per adaptar-se a les noves regles i evitar possibles sancions.

Totes les empreses europees o que tinguin negocis amb algun país comunitari han de complir amb aquest marc legal.

El reglament implica un tractament més actiu pel que fa a la protecció de les dades personals. Entre els aspectes que tracta està la relació entre els encarregats i els responsables de l’tractament i els punts que s’han de tractar en el contracte. Si la teva empresa necessita adaptar-se a el reglament de protecció de dades, heu de tenir clara la següent informació.

Qui són l’encarregat i el responsable del tractament?

El responsable és qui determina els propòsits i els mitjans de processament de les dades. D’acord a l’article 4 de l’RGPD pot ser una persona física o jurídica, autoritat pública, agència o un altre.

Aquesta persona, agència o autoritat ha d’assegurar que el tractament de les dades es fa d’acord a el reglament, respectant els drets dels usuaris. A més, és responsable que es compleixi amb els principis de confidencialitat, transparència, exactitud, legalitat, justícia i integritat d’emmagatzematge.

D’altra banda, l’encarregat de l’tractament és qui processa les dades en nom de l’responsable. A les seves mans està prendre totes les mesures tècniques i organitzacionals per assegurar-se complir amb els drets dels usuaris i complir amb la regulació.

S’entén així que el responsable s’encarrega de definir el tractament de la informació, mentre que l’encarregat el porta a terme. Serà aquest últim qui reculli les dades, emmagatzemar-los, registrar-los, destruir-los o qualsevol altre tractament que s’estableixi a l’elaborar el contracte.

Les funcions de l’encarregat estan limitades al que s’estableixi en l’acord amb el responsable. Sota cap circumstància els pot utilitzar per a fins propis.
reglamento europeo de protección de datos

Com es tria  el responsable del tractament?

El responsable del tractament serà l’encarregat de triar i supervisar a l’encarregat. Per a això s’ha de fixar que aquest doni garanties suficients per protegir les dades dels usuaris. L’encarregat, per la seva banda, prendrà les mesures que siguin necessàries per protegir la informació personal i utilitzar-la només per als propòsits establerts.

Al elegir l’encarregat de el tractament, el responsable pot escollir algú que estigui fora de la Unió Europea però s’ha de regir per la regulació de transferències internacionals. Aquestes normes també estan establertes en el reglament.

Una vegada que es triï qui serà l’encarregat de el tractament, la relació ha de quedar documentada en un contracte o acte jurídic similar a aquest.

Recomanacions per elaborar contractes adaptats a l’RGPD

Dins l’acord que regeix la relació entre el responsable i l’encarregat de tractament s’ha d’especificar, com a mínim la següent informació:

  • Objecte, durada i naturalesa del tractament.
  • Quina és la finalitat del  tractament.
  • El tipus de dades personals que es van a recollir.
  • Categories dels interessats.
  • Especificar les obligacions i drets dels responsables.

L’AEPD ha posat a disposició de les empreses una sèrie de recursos per entendre com complir el nou reglament de protecció de dades. En aquesta guia per a pimes serà possible trobar informació sobre el contracte, l’impacte de la protecció de les dades, anàlisi de risc i més.

Les instruccions a l’encarregat del tractament, l’ús de les dades i finalitats han de figurar en el contracte. També s’ha d’establir el règim de subcontractació, això en cas que l’encarregat hagi de recórrer a un tercer per complir amb les obligacions.

S’ha d’especificar com l’encarregat col·laborarà amb el responsable per demostrar el compliment de l’RGPD. Així com la destinació de les dades quan finalitzi la relació entre ambdues parts. La qual cosa pot incloure el traspàs o la supressió de les dades.

El compliment amb aquest reglament té implicacions legals importants. Per tant, cal assessorar-se i estar a el dia amb la regulació. Si la teva empresa està en funcionament i no s’ha ajustat a les normes, ho ha de fer com més aviat millor. O, si és nova, heu de tenir clares quines són les noves regles perquè ara el tractament de les dades és encara més estricte.

A continuació et donem més detalls sobre el que ha de contenir el contracte entre el responsable i l’encarregat del tractament. Tots aquests punts estan especificats en les directrius per elaborar el contracte.

Instruccions a el responsable del tractament

En el document han d’aparèixer de forma clara els tractaments necessaris que l’encarregat ha de fer a les dades. El responsable és qui determina quins seran aquests tractaments d’acord a el tipus de servei que presta. Això inclou les comunicacions a tercers que ha de fer el responsable.

D’altra banda, si l’encarregat percep que alguna de les instruccions incompleix amb el RGPD ha de comunicar al responsable.

Deure de confidencialitat

El responsable s’ha de comprometre a que les dades dels interessats estaran protegits. És a dir, les persones que s’encarreguin de gestionar aquesta informació han de tractar-los en estricta confidencialitat. Dins el contracte s’ha d’establir com faran per garantir aquest principi.

Mesures de seguretat

Entre les obligacions de l’encarregat ressalta el deure d’avaluar els riscos que hi ha en el tractament de dades. Així com establir totes les mesures necessàries per garantir la seguretat d’aquesta informació.

En el contracte ha de figurar tant les mesures que es van a prendre com el seu compromís exprés de vetllar per la seguretat de les dades.

Dels mecanismes per tractar les dades també poden sorgir altres riscos, com la tecnologia utilitzada o les persones que tinguin accés a les dades. Tot això s’ha de veure i plantejar les mesures de seguretat pertinents.

A més de garantir la confidencialitat i integritat de les dades, també s’ha de fer càrrec del xifrat de la informació. Així com la seva recuperació en cas de que hi ha algun incident.

Règim de subcontractació

El RGPD estableix la possibilitat que l’encarregat subcontracti a un tercer per dur a terme les seves tasques. No obstant això, per fer-ho ha de tenir l’autorització del responsable del tractament.

L’autorització pot identificar la persona que es va a subcontractar o ser general. En aquest últim cas, l’encarregat ha d’informar de qui es tracta aquest tercer. El sotsencarregat resta subjecte a les mateixes instruccions de l’encarregat. És a dir, tindrà les mateixes obligacions i responsabilitats pel que fa a el tractament de la informació es refereix.

Drets dels interessats

Davant les sol·licituds dels usuaris d’exercir algun dret sobre la seva informació està l’obligació de respondre a aquesta. Aquests drets poden ser sobre l’accés a les dades, rectificació, supressió, oposició, limitació de tractament, entre d’altres.

Dins l’acord s’ha d’especificar si l’encarregat ha d’atendre aquestes sol·licituds o si només ha de comunicar-les al responsable. De la mateixa manera han de quedar clars els temps en què es donarà resposta.
adaptar el negocio al RGPD

Col·laboració de l’encarregat amb el responsable per al compliment de les seves obligacions

L’encarregat ha d’ajudar a l’responsable a complir amb el reglament europeu de protecció de dades. Ho ha de fer tant en matèria de seguretat com en les avaluacions d’impactes que siguin necessàries. Ha de respondre a les consultes que es facin i informar sobre possibles violacions a les dades dels usuaris.

Destinació de les dades

En l’acord també s’ha d’especificar què passarà amb les dades personals una vegada que finalitzi la relació entre el responsable i l’encarregat.

Les alternatives que existeixen són la devolució de les dades al responsable o la supressió dels mateixos. Serà el responsable qui decidirà quin serà el destí d’aquesta informació.

Col·laboració per demostrar el compliment de la llei

L’últim punt clau que ha d’aparèixer en el contracte és l’obligatorietat de l’encarregat de col·laborar amb el responsable per demostrar que compleix amb la llei. És a dir, ha de posar a la seva disposició tota la informació necessària.

De la mateixa manera, si hi ha la necessitat de fer una auditoria, l’encarregat ha de permetre que es faci.

Aquestes recomanacions per elaborar contractes adaptats a l’RGPD inclouen els punts clau que apareixen a la guia de l’Agència Espanyola de Protecció de Dades.

0/5 (0 Reviews)
Comparte este artículo >>
Scroll to Top
More in Varis
Ajuda-T pimes: superant les nostres expectatives com gestoria online

Avui et portem un article diferent en el qual no tractaré cap tema on nosaltres directament puguem ajudar-te, però esperem...

Close