¿Debemos anotar a los Encargados de Tratamiento en el Registro de Actividades de Tratamiento, como Destinatarios?

Jueves, 17 Octubre 2019 10:13
Publicado en Blog
Escrito por  Hernando Dominguez Visto 1057 veces
Valora este artículo
(2 votos)

En el Registro de Actividades de Tratamiento (en adelante RAT) no es necesario anotar a los prestadores de servicios como destinatarios. Paso a argumentar nuestra postura:

En el art 30.1.d) del RGPD, sobre el contenido del RAT, se nos dice que cada actividad de tratamiento debe contener:

"las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales"

Cuando habla de categorías de destinatarios, se refiere a que dichos destinatarios, se deben definir de forma general, por categorías, como por ejemplo: "Bancos y Cajas de ahorro", o "administraciones con competencia en la materia".

En ningún caso la ley nos obliga a definir los destinatarios individualmente. No tiene sentido poner todos los bancos del planeta, porque por ejemplo, podemos acabar transmitiendo los datos a cualquier banco del planeta donde el cliente o proveedor tenga cuenta.

Es un esfuerzo ímprobo tanto recopilarlos, como actualizarlos, y no repercute en un aumento de seguridad o una mejor evaluación de los riesgos, porque en el momento que nosotros hacemos la transferencia con nuestro banco, él comunica directamente la transferencia al banco de destino, mediante un proceso al que somos totalmente ajenos.

Además, en el art. 4 del RGPD, el legislador distingue en sus definiciones, entre Encargado del Tratamiento y Destinatario, porque aunque son cosas distintas, muchas personas confunden los conceptos y los utilizan de forma análoga:

“8)«encargado del tratamiento»: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento;

9)«destinatario»: la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se considerarán destinatarios las autoridades públicas que puedan recibir datos personales en el marco de una investigación concreta de conformidad con el Derecho de la Unión o de los Estados miembros; el tratamiento de tales datos por dichas autoridades públicas será conforme con las normas en materia de protección de datos aplicables a los fines del tratamiento;”

La figura del encargado no necesariamente tiene que ser receptor de documentación, por ejemplo, un comercial autónomo, puede introducir datos de contratos en la empresa, pero no realizar más tareas ni recibir documentos.

Además, el destinatario recibe los datos para incorporarlos a sus tratamientos o ficheros (el banco al que le mandes el movimiento no tiene que borrar ese registro si se lo pides, porque ese registro ya es suyo, no tuyo, o la administración a la que se lo cedes tampoco), mientras que el prestador del servicio sí tiene la obligación de devolverlo cuando finalice la prestación, conservando aquellos documentos que puedan derivarle alguna responsabilidad jurídica.

Por tanto el Reglamento separa los destinatarios, que pueden aparecer en el RAT por categorías, de los Encargados del Tratamiento, que tienen otras obligaciones como la firma de un contrato que regule su acceso a los datos.

Otra cosa son los Encargados del tratamiento, que sí tienen la obligación de determinar en su registro de Actividades, a los encargados de cada responsable al que dan el servicio, como describe en el art. 30.2 del RGPD

“Cada encargado (…) llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable que contenga: el nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del delegado de protección de datos;”

Sin embargo, en empresas grandes, con listados cambiantes, se puede solucionar enlazando a un documento interno, donde conste dicho listado.

En Prodat facilitamos a los clientes un gestor de documentación donde se pueden anotar todos los prestadores y responsables, verificar si han firmado el contrato o no, e incluso escanear y subir el contrato a efectos de auditoría.

Inicia sesión para enviar comentarios

Modificado por última vez en Jueves, 17 Octubre 2019 11:04

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal