La CNIL explica las condiciones y el contexto específicos que deben darse para que los subcontratistas puedan reutilizar los datos personales.
Bajo el RGPD, deben darse numerosas condiciones a fin de que los subcontratistas puedan reutilizar los datos proporcionados por el responsable. La autoridad de supervisión de Francia, la CNIL, ha señalado el contexto específico bajo el que un subcontratista puede reutilizar los datos personales. Debe recordarse que normalmente los encargados sólo tratan los datos personales conforme a las instrucciones del responsable, y nunca con una finalidad propia. Sin embargo, en algunos casos el subcontratista podría querer reutilizar los datos para un propósito específico, como mejorar sus productos o servicios. Cuando esto ocurra, el responsable podría autorizar al subcontratista a reutilizar los datos para sus propios fines, pero únicamente en cumplimiento de circunstancias muy concretas. La CNIL ha explicado estas condiciones en un artículo que ha publicado recientemente. Es importante indicar que, en tales circunstancias, el encargado pasaría a ser el responsable de dichos tratamientos una vez que haya sido autorizado por el responsable para llevarlos a cabo.
Antes de que un subcontratista pueda comenzar a tratar datos personales, debe realizarse un test de compatibilidad.
Antes de que pueda tener lugar ningún tratamiento ulterior o tratamiento posterior a la recogida de los datos (con finalidades diferentes a las iniciales), el responsable debe realizar un test de compatibilidad. El objetivo de esta prueba es determinar si este tratamiento posterior es compatible con la finalidad para la que inicialmente se recogieron los datos, y para decidirlo, el responsable considerará la existencia de algún tipo de vínculo entre el tratamiento inicial y el tratamiento subsiguiente. Entre otros factores de importancia se incluyen el contexto en el cual se recogieron los datos y la naturaleza de los mismos. También deben tenerse en cuenta la aplicación de garantías apropiadas, como el cifrado y la pseudonimización. El test de compatibilidad ha de tener lugar para una actividad de tratamiento específica, y abarcar las finalidades y las características de cada operación para la cual el subcontratista pretenda utilizar los datos. El responsable del tratamiento es entonces libre de otorgar su consentimiento o no, sólo si los resultados de la prueba son satisfactorios.
La autorización para la reutilización de los datos debe emitirse por escrito, y el responsable tendrá que informar a los interesados.
El RGPD requiere que el tratamiento de datos por parte de un subcontratista se regule mediante contrato u otro acto legal, lo que incluye el formato electrónico. Además, el responsable del tratamiento deberá asegurar que los interesados son debidamente informados de la reutilización de sus datos con nuevas finalidades. En concreto, el responsable debe indicar si es posible oponerse a ello. En la práctica se recomienda que el responsable inicial proporcione, si es posible, toda la información acerca del tratamiento. El responsable puede delegar esta tarea si el subcontratista ya tiene los datos de contacto de las personas afectadas.
La responsabilidad de asegurar el cumplimiento en los tratamientos posteriores reside en el subcontratista.
El subcontratista es responsable de asegurar que el nuevo tratamiento cumple con el RGPD, y en caso contrario podría ser sancionado por la CNIL. Deberá confirmar que los datos se tratan conforme a la normativa y sólo con las finalidades para las cuales se ha dado consentimiento escrito. Como el responsable de todo tratamiento ulterior, debe garantizar que cumple un propósito bien definido y que lo hace de acuerdo a una base legal adaptada específicamente para este fin.
El artículo de la CNIL hace una mención concreta a la necesidad de definir un período de retención adecuado y asegurar que los interesados reciben toda la información relativa a cualquier recogida indirecta que no se haya puesto a su disposición por parte del responsable inicial (sujeto a las excepciones que sean aplicables). También se debe prestar atención especial a las medidas de seguridad pertinentes, a la minimización de datos y en general a la protección de los derechos de los interesados.
¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de Datos, Evaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de Datos. Infórmate aquí.
