09.09.2020
La subcontratación en las transferencias internacionales de datos
¿Qué se regula en el contrato de subcontratación que realiza el encargado del tratamiento? ¿Debe el subencargado cumplir con el RGPD? ¿A qué se obliga el subencargado de tratamiento? ¿A qué se obliga el subencargado de tratamiento? ¿Qué ocurre si ese tercer país no garantiza un nivel de protección adecuado?
Por
Posadas Parra, Noelia Introducción
Multitud de compañías españolas necesitan subcontratar servicios en terceros países. Esto significa ceder sus bases de datos. Es lo que se denomina subencargo de tratamiento de datos. Para poder transferir los datos a un país ajeno al RGPD y que un encargado de tratamiento pueda hacer uso de los datos transferidos es necesario suscribir un contrato de subcontratación.
Contacto No te quedes con la duda, contacta con nosotros. Estaremos encantados de atenderte y ofrecerte soluciones.¿Qué se regula en este contrato?
El régimen de subcontratación. Cuando los datos personales se traten por un tercero, el responsable del tratamiento deberá autorizarlo. La autorización previa y por escrito del responsable es imprescindible. Esta autorización podrá ser específica, identificando la entidad concreta, o general, sólo autorizando la subcontratación. En este último caso, el encargado deberá informar al responsable de cualquier cambio previsto en la incorporación de otros encargados. De esta forma, el responsable podrá oponerse a estas modificaciones. Para lo anterior, es habitual que se establezca un plazo y forma determinada en el contrato.
El subencargado, al igual que el encargado del tratamiento, deberá ofrecer las garantías suficientes que aseguren el cumplimiento del RGPD. Es decir, garantizar la protección de los derechos de los interesados.
Si te ha interesado este artículo no dudes en leer:
La decisión de adecuación en las Transferencias Internacionales de Datos (TID)
¿A qué se obliga el subencargado de tratamiento?
Se le impondrán al subencargado las mismas obligaciones que las estipuladas en el contrato entre el responsable y encargado del tratamiento. El contrato entre el encargado y el subencargado de tratamiento deberá cumplir con lo el Derecho de la Unión. El subencargado deberá cumplir las mismas obligaciones que el encargado del tratamiento, se subroga en su posición. Deberá cumplir con las mismas instrucciones y en la misma forma, que el encargado del tratamiento.
¿Qué ocurre en caso de incumplimiento?
El encargado seguirá siendo plenamente responsable ante el responsable del tratamiento. La responsabilidad frente al responsable corresponde al encargado de tratamiento y no al subencargado.
¿Qué ocurre si ese tercer país no garantiza un nivel de protección adecuado?
Podemos hacer uso de los instrumentos que permiten una transferencia internacional de datos contenidos en los artículos 44 a 50 del RGPD. En caso contrario, deberemos encontrar un subencargado de tratamiento que cumpla con un nivel de protección adecuado. Si la transferencia no cumple con lo establecido en el RGPD, debe prohibirse.
Si este artículo le ha gustado, también puede resultarle de interés la lectura del siguiente:
¿Qué se entiende por nivel adecuado en las transferencias internacionales de datos?
El nuevo Mercado de Valores ya es una realidad para las PYMEs (Ley 6/2023)
El estatus regulatorio de los ‘Servicers’ en el mercado de NPL’s.
