Cláusulas contractuales para encargados de tratamiento
La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD) regula en su artículo 33 el rol del encargado del tratamiento, entendido este como la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.
El artículo 28 del RGPD, entre otras cuestiones, determina que el responsable del tratamiento deberá escoger únicamente aquellos encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas de manera que el tratamiento realizado sea conforme a los requisitos del Reglamento y garantice los derechos y libertades de las personas. Esta previsión se extiende también a los encargados cuando subcontraten operaciones de tratamiento con otros subencargados.
La relación entre responsable y encargado deberá formalizarse mediante contrato u acto jurídico que les vincule y en el que se establezca, como contenido mínimo, el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos y las categorías de interesados cuyos datos son tratados, la obligación del encargado de tratar los datos personales únicamente siguiendo las instrucciones documentadas del responsable, el destino de los datos una vez finalizada la prestación del servicio así como otras obligaciones del encargado en materia de subcontratación y asistencia al responsable del tratamiento.
En este apartado se recogen los modelos de cláusulas contractuales que deberá incorporar a los contratos firmados con los proveedores de servicio y encargados del tratamiento con los que el responsable haya establecido una relación contractual y que tienen acceso a los datos tratados y a los sistemas de información en los que el responsable realiza el tratamiento de datos (proveedores de hosting, prestadores de servicio de correo, mantenimiento informático,…) además de la cláusula de confidencialidad dirigida a aquellas empresas que sólo tienen acceso accidental a los datos y deben de mantener el deber de secreto de aquella información que pudieran llegar a conocer (empresas de servicio de limpieza, empresas de mantenimiento, …)
Registro de Actividades del Tratamiento
La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD) establece en su artículo 31 relativo al “Registro de Actividades del Tratamiento” la obligación de responsables y encargados de mantener el registro de actividades del tratamiento al que se refiere el artículo 30 del RGPD. Sin corresponderse exactamente con el mapa de procesos de la organización, los tratamientos identificados deben estar integrados en este, mostrando las interrelaciones y dependencias que mantienen con el resto de procesos que se desarrollan dentro de la entidad.
De acuerdo con este artículo, el responsable del tratamiento deberá especificar en este registro las actividades de tratamiento llevadas a cabo junto con información relativa a:
- El nombre y los datos de contacto del responsable y del delegado de protección de datos si existe obligación de nombramiento.
- Las finalidades del tratamiento realizado
- La descripción de las categorías de los interesados cuyos datos son tratados, así como de las categorías de datos.
- Las categorías de destinatarios a los que se comunican los datos, incluidos los destinatarios de terceros países.
- En su caso, las transferencias de datos a terceros países u organizaciones internacionales junto con la identificación de estos y el detalle de las garantías adecuadas.
- Los plazos previstos de conservación de los datos o los criterios para determinarlos.
- Una descripción general de las medidas técnicas y organizativas adoptadas para garantizar la seguridad y la privacidad de los datos personales tratados.
En el caso de que actúe como encargado del tratamiento, también deberá contar con un registro de actividades en el que se especificará:
- El nombre y datos del encargado y de cada responsable por cuenta del cuál actúe el encargado, así como del delegado de protección de datos si existe obligación de nombramiento.
- Las categorías de tratamientos efectuados por cuenta de cada responsable.
- En su caso, las transferencias de datos a terceros países u organizaciones internacionales junto con la identificación de estos y el detalle de las garantías adecuadas.
- Una descripción general de las medidas técnicas y organizativas adoptadas para garantizar la seguridad y la privacidad de los datos personales tratados
No olvide revisar los textos automáticamente generados y realizar los cambios necesarios para que el registro de actividades de tratamiento responda con exactitud a los datos recogidos, las finalidades definidas, las comunicaciones realizadas, si está prevista o no la realización de transferencias internacionales de datos y demás circunstancias particulares de cada uno de los tratamientos realizados.
Además, debe desarrollar unas tablas similares a las mostradas en este apartado para los siguientes tratamientos descritos que hacen uso de las tecnologías innovadoras que ha seleccionado:
Lola Azcoytia
Para cada uno de ellos deberá incluir la información exigida por el artículo 30 del RGPD arriba especificada, siendo importante, en particular, que identifique la finalidad del tratamiento, el tipo de datos tratados, la categoría de los individuos de los que proceden dichos datos, las posibles comunicaciones o cesiones de datos que realice, así como el plazo de conservación de la información.
REGISTRO DE ACTIVIDADES DE TRATAMIENTO DE CLIENTES O USUARIOS
| a) Responsable del tratamiento | Identidad: Lola Azcoytia. Diseño e Ilustración para Eventos – Decoración – Regalos – NIF: 28837308 – T
Dirección postal: C/ Arjona nº12, 1ªesc 7ºB. CP: 41001 (SEVILLA) Correo electrónico: lolaazcoytia@gmail.com Teléfono: 679115073 |
| b) Finalidad del tratamiento | Prestar un servicio
Facturar un servicio Fidelizar a sus clientes/usuarios |
| c) Categorías de interesados | Clientes o usuarios: Personas que son clientes o hacen uso del servicio prestado por su empresa |
| d) Categorías de datos | Los necesarios para el mantenimiento de la relación comercial.
Datos de identificación (nombre, apellidos, NIF, dirección postal, teléfono, email) Características personales (estado civil, fecha y lugar de nacimiento, edad, género, nacionalidad) Datos bancarios (nº cuenta, nº tarjeta de crédito/débito) |
| e) Categorías de destinatarios | Bancos y entidades financieras |
| f) Transferencias internacionales | No está previsto realizar transferencias internacionales |
| g) Plazo de supresión | Los previstos por la legislación fiscal respecto a la prescripción de responsabilidades |
| h) Medidas de seguridad | Las reflejadas en el ANEXO MEDIDAS DE SEGURIDAD |
REGISTRO DE ACTIVIDADES DE TRATAMIENTO DE POTENCIALES CLIENTES O USUARIOS
| a) Responsable del tratamiento | Identidad: Lola Azcoytia. Diseño e Ilustración para Eventos – Decoración – Regalos – NIF: 28837308 – T
Dirección postal: C/ Arjona nº12, 1ªesc 7ºB. CP: 41001 (SEVILLA) Correo electrónico: lolaazcoytia@gmail.com Teléfono: 679115073 |
| b) Finalidad del tratamiento | Gestión de la relación con los potenciales clientes o usuarios |
| c) Categorías de interesados | Potenciales clientes o usuarios: Personas que aún no son usuarios del servicio y con las que se busca establecer una relación comercial. |
| d) Categorías de datos | Los necesarios para la promoción del servicio prestado por la empresa:
Datos de identificación (nombre, apellidos, NIF, dirección postal, teléfono, email) Características personales (estado civil, fecha y lugar de nacimiento, edad, género, nacionalidad) |
| e) Categorías de destinatarios | No están previstas las cesiones de datos |
| f) Transferencias internacionales | No está previsto realizar transferencias internacionales |
| g) Plazo de supresión | <<plazo>> desde el primer contacto |
| h) Medidas de seguridad | Las reflejadas en el ANEXO MEDIDAS DE SEGURIDAD |
REGISTRO DE ACTIVIDADES SI ACTÚA COMO ENCARGADO DEL TRATAMIENTO
| a) Encargado del tratamiento | Identidad: Lola Azcoytia. Diseño e Ilustración para Eventos – Decoración – Regalos – NIF: 28837308 – T
Dirección postal: C/ Arjona nº12, 1ªesc 7ºB. CP: 41001 (SEVILLA) Correo electrónico: lolaazcoytia@gmail.com Teléfono: 679115073 |
| b) Responsables del tratamiento por cuenta de quienes actúa | [Listado de los responsables del tratamiento para los que presta servicio] |
| c) Categorías de tratamientos realizados | [Listado del par responsable – tratamiento en líneas diferentes] |
| f) Transferencias internacionales | No está previsto realizar transferencias internacionales |
| h) Medidas de seguridad | Las reflejadas en el ANEXO MEDIDAS DE SEGURIDAD |