La cesión de datos de carácter personal a un terceros según la Ley RGPD
El acceso a datos por cuenta de un tercero conlleva la prestación de un servicio por parte de una tercera empresa al responsable del fichero, que accede a los datos del fichero para el cumplimiento de la prestación contratada.
Cualquier organización que procese los datos personales de los residentes de la UE está sujeta al Reglamento y debe cumplir con sus requisitos.
Cuando externalizas ciertas actividades de procesamiento de datos a otra organización, tú eres el responsable del tratamiento de datos y el tercero es el encargado del tratamiento de datos.
Un responsable de tratamiento decide qué información se procesa y la base legal para hacerlo, mientras que un encargado del tratamiento completa el procesamiento en nombre del responsable.
Según el RGPD, los responsables del tratamiento son responsables de su propio cumplimiento y del de los encargados.
Como tal, es esencial que investigues las prácticas de seguridad de cualquier posible tercero y que este acepte por escrito las medidas que adoptará para proteger tus sistemas.
La normativa de Protección de datos indica que “no se considerará cesión de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al Responsable del Fichero“.
Dentro de esa información a terceros considerados encargados del tratamiento están los datos que se ceden a la asesoría laboral o fiscal que presta servicios a la empresa, la empresa donde se aloja la página web, la empresa que te presta servicios informáticos o de marketing.
Requisitos y obligaciones
A la hora de permitir el acceso a mis datos a cualquier tercero es necesario cumplir unos requisitos. Entre las más importantes es la elaboración de un contrato de cesión de datos a terceros o contrato de encargado del tratamiento, en el que se especifique las exigencias en cuanto al tratamiento de los datos del interesado.
Asimismo, la ley estipula que se debe actuar que se debe actuar dentro del marco del due diligence, para lo que será necesario realizar un análisis de riesgos y establecer las medidas necesarias para la adecuada protección de la información, sobre todo cuando se trata de datos especialmente protegidos por el RGPD.