El artículo 28 del RGPD: los subcontratistas
El Reglamento General de Protección de Datos (RGPD) es un reglamento de la Unión Europea (UE) que regula la recopilación, el tratamiento y el uso de datos personales. El RGPD entró en vigor el 25 de mayo de 2018 y se aplica a todas las organizaciones que procesan datos personales de personas ubicadas en la UE, independientemente de su ubicación.
El artículo 28 del RGPD trata sobre los subcontratistas. Un subcontratista es una entidad que procesa datos personales en nombre de un responsable del tratamiento. El responsable del tratamiento es el encargado de garantizar el cumplimiento del RGPD para todos los datos personales que trata, incluidos aquellos procesados por el subcontratista.
¿Qué es un subcontratista?
Un subcontratista es una entidad que procesa datos personales en nombre de un responsable del tratamiento. El responsable del tratamiento es el encargado de garantizar el cumplimiento del RGPD para todos los datos personales que trata, incluidos aquellos procesados por el subcontratista.
Por ejemplo, una empresa que vende productos en línea puede ser responsable del tratamiento de los datos personales de sus clientes, como su nombre, dirección y correo electrónico. La empresa puede recurrir a un subcontratista para alojar su sitio web, procesar pagos o enviar correos electrónicos a los clientes. En este caso, el subcontratista procesará datos personales en nombre de la empresa, y la empresa será responsable de garantizar el cumplimiento del RGPD para esos datos.
Las obligaciones del subcontratista
El artículo 28 del RGPD exige que el responsable del tratamiento firme un contrato por escrito con el subcontratista. Este contrato debe establecer las obligaciones del subcontratista en materia de protección de datos personales. El contrato debe especificar, entre otros elementos, lo siguiente:
- Los fines del tratamiento de los datos personales;
- La naturaleza de los datos personales a tratar;
- La duración del tratamiento;
- Las medidas de seguridad adoptadas por el subcontratista para proteger los datos personales;
- Los derechos del responsable del tratamiento y de las personas afectadas;
- Los procedimientos de notificación en caso de violaciones de datos personales.
El responsable del tratamiento también debe asegurarse de que el subcontratista cuenta con los recursos humanos y técnicos necesarios para cumplir con el RGPD. Asimismo, debe tener la capacidad de auditar al subcontratista para verificar el cumplimiento de sus obligaciones en materia de protección de datos personales.
El contrato también debe establecer que el subcontratista está obligado a cumplir con las disposiciones del RGPD y con las políticas y procedimientos de protección de datos personales de la empresa.
Las consecuencias del incumplimiento del RGPD por parte del subcontratista
En caso de incumplimiento del RGPD por parte del subcontratista, el responsable del tratamiento puede ser considerado responsable. Además, el responsable del tratamiento podría verse obligado a pagar indemnizaciones a las personas afectadas.
Ejemplos de subcontratistas
Algunos ejemplos de subcontratistas incluyen:
- Proveedores de alojamiento web
- Procesadores de pago
- Proveedores de servicios de correo electrónico
- Agencias de marketing
- Despachos contables
- Abogados
- Consultores
¿Cómo elegir un subcontratista?
Al elegir un subcontratista, es importante considerar los siguientes aspectos:
- La experiencia del subcontratista en protección de datos personales;
- Las políticas y procedimientos de seguridad del subcontratista;
- La capacidad del subcontratista para cumplir con el RGPD;
- Las referencias del subcontratista;
- El costo de los servicios del subcontratista.
En resumen
El artículo 28 del RGPD es clave para garantizar que los datos personales estén protegidos cuando son procesados por un subcontratista. El responsable del tratamiento debe tomar todas las medidas necesarias para asegurarse de que el subcontratista cumple con sus obligaciones en materia de protección de datos personales.
La elección de un subcontratista es una decisión importante. Es esencial considerar todos los factores mencionados anteriormente para asegurarse de que el subcontratista elegido cumple con el RGPD y protege los datos personales de su empresa.
Si el subcontratista no cumple con el RGPD, la empresa puede ser considerada responsable y podría verse obligada a pagar indemnizaciones a las personas afectadas.
Este ejemplo resalta la importancia de elegir un subcontratista que cumpla con el RGPD y cuente con los recursos humanos y técnicos necesarios para garantizar la protección de los datos personales.
