Algunas actividades de negocio, procesos o servicios de las entidades, tienen que ser subcontratadas en muchas ocasiones y, los proveedores subcontratados con ese fin, tienen acceso a los datos que trata nuestra entidad en calidad de Responsable del Tratamiento.
En estos casos, el proveedor se configura como Encargado del Tratamiento, debiendo tratar los datos bajo las instrucciones de nuestra entidad.
Los proveedores contratados deben aplicar todas las medidas necesarias para cumplir con el Reglamento General de Protección de Datos, con el objetivo de salvaguardar los derechos y libertades en materia de protección de datos.
Asimismo, la normativa en materia de protección de datos personales, en concreto el artículo 28 del Reglamento General de Protección de Datos, establece que es requisito indispensable la firma de un contrato que vincule al Encargado del Tratamiento con el Responsable en los términos del artículo mencionado.
Los proveedores que tengan acceso a los datos personales de nuestra entidad no podrán subcontratar los servicios, salvo que para ello cuenten con nuestra autorización como Responsable del Tratamiento.
Ejemplo:
– Empresa X, que tiene 10 trabajadores en nómina,
– Contrata los servicios de una asesoría laboral para que se ocupe de la emisión y gestión de nóminas de los los trabajadores.
– Dado que la Empresa X es la Responsable del Tratamiento de los datos de sus trabajadores, la asesoría laboral accede a los datos de estos trabajadores para prestarle un servicio a la Empresa X, actuando como Encargada del Tratamiento, por lo que se deberá firmar un contrato de acceso a datos entre las partes y el Responsable del Tratamiento deberá asegurarse de que la asesoría cumple las medidas de seguridad apropiadas.
Para más información puede consultar la guía que la AEPD ha elaborado a este respecto https://www.aepd.es/es/documento/guia-directrices-contratos.pdf
