La autoridad de control de Dinamarca ha publicado una guía sobre supervisión de los encargados de tratamiento destinada a los responsables, con recomendaciones basadas en análisis de riesgos.
La autoridad de control de Dinamarca publicó el mes pasado una guía sobre supervisión de encargados de tratamiento orientada a cualquier entidad privada, organismo público o institución que trate datos personales o actúe como responsable. Los encargados tratan datos por cuenta del responsable y en consecuencia muchas veces se encuentran en posesión de datos personales y otra información sensible. Es obligatorio por tanto que los encargados traten los datos como se espera que lo hagan, y los responsables deben poder supervisarlos para asegurar que así sea. La importancia de esta supervisión radica en que en última instancia los responsables deben también responder por las actividades a las que someten dichos datos y la manera en que estos se protegen.
Los responsables deben asegurarse de que los encargados tratan los datos de manera adecuada.
El responsable del tratamiento decide por qué (la finalidad) y cómo (con qué medios) se tratan los datos personales y el encargado trata los datos por cuenta del responsable, es decir, conforme a las instrucciones del mismo. El responsable debe responder por los datos y el uso que se hace de los mismos, así como por cualquier incidente vinculado con ellos y con las actividades de tratamiento. Como resultado, los responsables deben supervisar cómo los encargados tratan los datos de los clientes y otros interesados.
La autoridad de control de Dinamarca ha propuesto seis enfoques distintos para supervisar a los encargados de tratamiento, según el nivel de riesgo.
Dada la importancia de la supervisión que deben ejercer los responsables del tratamiento sobre los encargados, la autoridad de control de Dinamarca ha publicado una guía al respecto, que ofrece respuestas a preguntas cómo cuánta supervisión es necesaria y cómo debe llevarse a cabo. Además, ofrece una serie de consejos para seguir los enfoques propuestos y ayudar a medir el nivel de riesgo asociado con el tratamiento de ciertos datos. La guía de la autoridad de control de Dinamarca define seis enfoques de supervisión determinados por el nivel de riesgo, definidos desde el más bajo hasta el más alto como resume a continuación:
Enfoque 1 (riesgo muy bajo)
No hagas nada hasta que identifiques que hay algún problema con el encargado de tratamiento.
Enfoque 2
El encargado de tratamiento confirma -preferiblemente por escrito- que se está cumpliendo con todos los requisitos aplicables.
Enfoque 3
El encargado de tratamiento te reporta anualmente – bien de manera directa o a través de una página web – una actualización escrita sobre el estado de las materias cubiertas en el acuerdo de encargado de tratamiento y otras áreas relevantes (como por ejemplo, cambios en el producto o en la organización).
Enfoque 4
El encargado de tratamiento cuenta con una certificación apropiada y actualizada y cumple con un determinado código de conducta que es relevante para las actividades correspondientes.
Enfoque 5
Un tercero independiente ha realizado una supervisión documentada del encargado en un área que también cubre tus actividades de tratamiento.
Enfoque 6 (riesgo muy alto)
El encargado de tratamiento realiza una inspección al encargado, por sí solo o con otros responsables.
La selección del enfoque que debe seguirse en cada caso es una decisión importante que puede tomarse según el nivel de riesgo asociado con los datos tratados por el encargado. Sin embargo, en cualquier caso se precisa algún nivel de supervisión y el responsable deberá identificar la manera en la que debe llevarse a cabo.
¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de Datos, Evaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de Datos. Podemos ayudarte. Infórmate aquí.
