Compliment RGPD i control de proveïdors en 4 passos
La contractació de proveïdors que poden tenir accés a les dades personals propietat de la nostra empresa és un fet innegable i que, amb el temps, s’ha anat consolidant i ampliant a qualsevol tipus d’organització, de les més petites a les més grans. I, per tant, s’han de tenir uns passos pel compliment de l’RGPD i pel control de proveïdors.
En el nostre post d’abril ja vam incidir en la diferenciació entre aquest accés a les dades i el supòsit de la cessió de dades a tercers (res a veure un amb l’altre). Avui, però, volem ampliar i donar-vos les claus per entendre què fer per complir amb l’RGPD quan un proveïdor té accés, per exemple, a les dades dels nostres clients, treballadors, leads entre d’altres. Seguint aquests passos i fent aquestes preguntes, podràs donar compliment a l’RGPD i al control de proveïdors.
Abans però, alguns dels casos habituals de proveïdors amb accés a dades solen ser:
- Aplicatius CRM o ERP allotjats al núvol.
- Plataformes per l’enviament i gestió de les teves campanyes d’email marketing.
- Còpies de seguretat externes.
- Aplicacions o programes de control horari dels treballadors.
- Serveis de manteniment informàtic.
- Gestories laborals.
Anem doncs als 4 passos que cal seguir per què l’accés a les dades que fan aquests proveïdors, entre d’altres, compleixi l’RGPD:
- Identifica bé a quines dades els dones accés i per quina finalitat.
Un de les teves labors essencials com a responsable de les dades (responsable del tractament), consisteix a assegurar que aquests proveïdors (encarregats del tractament), accedeixen només a les dades necessàries per prestar el servei i que la finalitat o objectiu d’aquest accés a les dades estigui clarament identificat. Els proveïdors doncs, mai podran accedir a més dades de les que necessiten per prestar el servei ni extralimitar-se en la finalitat per la que se’ls ha donat accés a les dades.
- Comprova la ubicació del proveïdor i, molt important, si subcontracta part del servei contractat.
Molt important. En el procés de revisió del compliment de l’RGPD per part del proveïdor, has d’assegurar-te des d’on presta el servei i per tant, “a on” aniran les dades personals a les que tenen accés. La contractació de proveïdors fora de la UE té uns requisits especials (veure punt 3).
Així mateix, assegura’t si el proveïdor escollit subcontracta part o la totalitat dels seus serveis, i de nou, a on estan ubicats aquests subcontractistes. Com a responsable del tractament has de conèixer els subcontractistes i a més, autoritzar la subcontractació per contracte.
- Proveïdors fora de la UE.
La globalització en la prestació de serveis, sobretot digitals, ha fet que aquests es puguin prestar pràcticament, des de qualsevol lloc del món. El que suposa una facilitat pels negocis, pot suposar alhora un repte pel compliment de l’RGPD ja que pot implicar, a la pràctica, que les dades personals s’allotgin fora de la UE. Aquest fet, que no està prohibit, sí que implica que caldrà tenir o complir uns requeriments especials. De nou tot passa per conèixer a on està ubicat aquest proveïdor, i en funció d’això:
- Si està ubicat en un territori considerat adequat per la Comissió Europea, tractar al proveïdor com si estigués establert dins de la UE.
- En cas contrari, el més habitual serà fer signar al proveïdor un dels models de contracte elaborats per la UE amb aquesta finalitat.
4. Garantir que apliqui mesures de seguretat.
L’aplicació de mesures de seguretat adequades al tipus de dades tractades és una de les obligacions bàsiques dels encarregats del tractament. En aquest sentit, sol ser una pràctica comuna que els responsables del tractament facin completar als proveïdors qüestionaris per verificar el seu compliment normatiu.
Aquesta és una pràctica estesa i útil en aquest sentit. Entre les mesures s’hi inclou, des del deure de comunicar incidències de seguretat, mantenir actualitzat un registre d’activitats o la necessitat de fer un anàlisi de riscos adequat a les dades tractades. Cal adaptar les mesures a cada tipus de proveïdor i tractament.
Recomanació final:
Per últim i no menys important: cal que comprovis que la relació amb el proveïdor quedi regulada en un contracte per escrit o en unes condicions, on s’hi incloguin, al menys, els quatre punts detallats més amunt.
L’absència de contracte, a més de suposar un incompliment de l’RGPD, és un clar risc per les dues parts a l’hora de delimitar clarament les responsabilitats de cadascuna en el tractament de les dades personals.
Si necessites més informació sobre aquest o qualsevol altra tema, no dubtis en contactar-nos:
Informació sobre protecció de dades
Denominació social
LEGAL IT GLOBAL 2017, SLP
Finalitat
Prestar el servei.
Enviament del Boletí informatiu.
Legitimització
Compliment de la prestació de servei.
Consentiment.
Destinataris
Les teves dades no seran compartides amb cap tercer, excepte aquells proveïdors de serveis amb els que disposem d’un contracte de serveis vigent.
Drets
Pots accedir, rectificar o suprimir les dades, així com exercir els drets que s’esmenten en la nostra Política de Privacitat.
Més informació
Consulta la Política de Privacitat.