El artículo 28 del RGPD aborda la subcontratación de actividades de procesamiento de datos a proveedores de servicios y describe un marco legal para dicha cooperación, protegiendo los derechos de los interesados y garantizando el cumplimiento.
Procesador
- Cuando el tratamiento deba realizarse por cuenta de un responsable del tratamiento, éste utilizará únicamente procesadores que ofrezcan garantías suficientes para implementar medidas técnicas y organizativas apropiadas de tal manera que el tratamiento cumpla los requisitos del presente Reglamento y garantice la protección de los derechos de el interesado.
- El encargado no contratará a otro encargado sin la autorización previa, específica o general, por escrito del responsable. En el caso de una autorización general por escrito, el encargado informará al responsable de cualquier cambio previsto relativo a la incorporación o sustitución de otros encargados, dándole así al responsable la oportunidad de oponerse a dichos cambios.
- El tratamiento por parte de un encargado se regirá por un contrato u otro acto jurídico conforme a la legislación de la Unión o de los Estados miembros, que sea vinculante para el encargado respecto del responsable y que establezca el objeto y la duración del tratamiento, la naturaleza y la finalidad. del tratamiento, el tipo de datos personales y categorías de interesados y las obligaciones y derechos del responsable del tratamiento. Dicho contrato u otro acto jurídico deberá estipular, en particular, que el encargado del tratamiento:
- (a) Procesa los datos personales únicamente siguiendo instrucciones documentadas del controlador, incluso con respecto a transferencias de datos personales a un tercer país o una organización internacional, a menos que así lo exija la legislación de la Unión o de los Estados miembros a la que esté sujeto el procesador; en tal caso, el encargado informará al responsable de ese requisito legal antes del procesamiento, a menos que esa ley prohíba dicha información por motivos importantes de interés público.
- (b) Garantiza que las personas autorizadas para procesar los datos personales se hayan comprometido a mantener la confidencialidad o estén bajo una obligación legal apropiada de confidencialidad.
- c) Toma todas las medidas requeridas de conformidad con el artículo 32.
- d) Respete las condiciones mencionadas en los apartados 2 y 4 para contratar otro encargado del tratamiento.
- e) Teniendo en cuenta la naturaleza del tratamiento, asiste al responsable del tratamiento mediante medidas técnicas y organizativas apropiadas, en la medida de lo posible, para el cumplimiento de la obligación del responsable de responder a las solicitudes de ejercicio de los derechos del interesado establecidos en el Capítulo III. .
- f) Ayuda al responsable del tratamiento a garantizar el cumplimiento de las obligaciones previstas en los artículos 32 a 36, teniendo en cuenta la naturaleza del tratamiento y la información de que dispone el encargado.
- (g) A elección del responsable del tratamiento, elimina o devuelve todos los datos personales al responsable del tratamiento una vez finalizada la prestación de servicios relacionados con el tratamiento, y elimina las copias existentes, a menos que la legislación de la Unión o de los Estados miembros exija el almacenamiento de los datos personales.
- h) Pone a disposición del responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este artículo y permite y contribuye a las auditorías, incluidas las inspecciones, realizadas por el responsable del tratamiento u otro auditor designado por el responsable del tratamiento.
Con respecto al párrafo primero, letra h), el encargado informará inmediatamente al responsable del tratamiento si, en su opinión, una instrucción infringe el presente Reglamento u otras disposiciones de protección de datos de la Unión o de los Estados miembros.- Cuando un encargado contrate a otro encargado para que lleve a cabo actividades de tratamiento específicas en nombre del responsable, se impondrán a ese responsable las mismas obligaciones de protección de datos establecidas en el contrato u otro acto jurídico entre el responsable y el encargado a que se refiere el apartado 3. otro encargado del tratamiento mediante un contrato u otro acto jurídico conforme al Derecho de la Unión o de los Estados miembros, en particular ofreciendo garantías suficientes para aplicar medidas técnicas y organizativas apropiadas de tal manera que el tratamiento cumpla los requisitos del presente Reglamento. Cuando ese otro procesador no cumpla con sus obligaciones de protección de datos, el procesador inicial seguirá siendo plenamente responsable ante el controlador por el cumplimiento de las obligaciones de ese otro procesador.
- La adhesión de un encargado a un código de conducta aprobado a que se refiere el artículo 40 o a un mecanismo de certificación aprobado a que se refiere el artículo 42 podrá utilizarse como elemento para demostrar garantías suficientes a que se refieren los apartados 1 y 4 del presente artículo. .
- Sin perjuicio de un contrato individual entre el responsable y el encargado, el contrato u otro acto jurídico a que se refieren los apartados 3 y 4 del presente artículo podrá basarse, total o parcialmente, en cláusulas contractuales tipo a que se refieren los apartados 7 y 8 de este artículo, incluso cuando formen parte de una certificación otorgada al responsable o encargado del tratamiento de conformidad con los artículos 42 y 43.
- La Comisión podrá establecer cláusulas contractuales tipo para las materias a que se refieren los apartados 3 y 4 del presente artículo y de conformidad con el procedimiento de examen a que se refiere el artículo 93, apartado 2.
- Una autoridad de control podrá adoptar cláusulas contractuales tipo para las materias a que se refieren los apartados 3 y 4 del presente artículo y de conformidad con el mecanismo de coherencia a que se refiere el artículo 63.
- El contrato u otro acto jurídico a que se refieren los apartados 3 y 4 se realizará por escrito, incluso en formato electrónico.
- Sin perjuicio de lo dispuesto en los artículos 82, 83 y 84, si un encargado infringe el presente Reglamento al determinar los fines y medios del tratamiento, se considerará responsable del tratamiento.
Reserva una charla de 30 minutos con nosotros y te mostraremos cómo
Procesador
- Cuando el tratamiento deba realizarse por cuenta de un responsable del tratamiento, éste utilizará únicamente procesadores que ofrezcan garantías suficientes para implementar medidas técnicas y organizativas apropiadas de tal manera que el tratamiento cumpla los requisitos del presente Reglamento y garantice la protección de los derechos de el interesado.
- El encargado no contratará a otro encargado sin la autorización previa, específica o general, por escrito del responsable. En el caso de una autorización general por escrito, el encargado informará al responsable de cualquier cambio previsto relativo a la incorporación o sustitución de otros encargados, dándole así al responsable la oportunidad de oponerse a dichos cambios.
- El procesamiento por parte de un procesador se regirá por un contrato u otro acto jurídico conforme a la legislación nacional, que sea vinculante para el procesador con respecto al controlador y que establezca el objeto y la duración del procesamiento, la naturaleza y el propósito del procesamiento. , el tipo de datos personales y categorías de interesados y las obligaciones y derechos del responsable del tratamiento. Dicho contrato u otro acto jurídico deberá estipular, en particular, que el encargado del tratamiento:
- (a) Procesa los datos personales únicamente siguiendo instrucciones documentadas del controlador, incluso con respecto a transferencias de datos personales a un tercer país o una organización internacional, a menos que así lo exija la legislación nacional a la que esté sujeto el procesador; en tal caso, el encargado informará al responsable de ese requisito legal antes del procesamiento, a menos que esa ley prohíba dicha información por motivos importantes de interés público.
- (b) Garantiza que las personas autorizadas para procesar los datos personales se hayan comprometido a mantener la confidencialidad o estén bajo una obligación legal apropiada de confidencialidad.
- c) Toma todas las medidas requeridas de conformidad con el artículo 32.
- d) Respete las condiciones mencionadas en los apartados 2 y 4 para contratar otro encargado del tratamiento.
- e) Teniendo en cuenta la naturaleza del tratamiento, asiste al responsable del tratamiento mediante medidas técnicas y organizativas apropiadas, en la medida de lo posible, para el cumplimiento de la obligación del responsable de responder a las solicitudes de ejercicio de los derechos del interesado establecidos en el Capítulo III. .
- f) Ayuda al responsable del tratamiento a garantizar el cumplimiento de las obligaciones previstas en los artículos 32 a 36, teniendo en cuenta la naturaleza del tratamiento y la información de que dispone el encargado.
- (g) A elección del responsable del tratamiento, elimina o devuelve todos los datos personales al responsable del tratamiento una vez finalizada la prestación de servicios relacionados con el tratamiento, y elimina las copias existentes, a menos que la legislación nacional exija el almacenamiento de los datos personales.
- h) Pone a disposición del responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este artículo y permite y contribuye a las auditorías, incluidas las inspecciones, realizadas por el responsable del tratamiento u otro auditor designado por el responsable del tratamiento.
Con respecto a la letra h) del párrafo primero, el encargado informará inmediatamente al responsable del tratamiento si, en su opinión, una instrucción infringe el presente Reglamento u otra legislación nacional relativa a las obligaciones de protección de datos.- Cuando un encargado contrate a otro encargado para que lleve a cabo actividades de tratamiento específicas en nombre del responsable, se impondrán a ese responsable las mismas obligaciones de protección de datos establecidas en el contrato u otro acto jurídico entre el responsable y el encargado a que se refiere el apartado 3. otro procesador mediante un contrato u otro acto jurídico conforme a la legislación nacional, en particular proporcionando garantías suficientes para implementar medidas técnicas y organizativas apropiadas de tal manera que el procesamiento cumpla con los requisitos del presente Reglamento. Cuando ese otro procesador no cumpla con sus obligaciones de protección de datos, el procesador inicial seguirá siendo plenamente responsable ante el controlador por el cumplimiento de las obligaciones de ese otro procesador.
- La adhesión de un encargado a un código de conducta aprobado a que se refiere el artículo 40 o a un mecanismo de certificación aprobado a que se refiere el artículo 42 podrá utilizarse como elemento para demostrar garantías suficientes a que se refieren los apartados 1 y 4 del presente artículo. .
- Sin perjuicio de un contrato individual entre el responsable y el encargado, el contrato u otro acto jurídico a que se refieren los apartados 3 y 4 del presente artículo podrá basarse, total o parcialmente, en cláusulas contractuales tipo a que se refiere el apartado 8 del presente artículo, incluso cuando formen parte de una certificación otorgada al responsable o encargado del tratamiento de conformidad con los artículos 42 y 43.
- El Comisario podrá adoptar cláusulas contractuales tipo para las materias a que se refieren los apartados 3 y 4 de este artículo.
- El contrato u otro acto jurídico a que se refieren los apartados 3 y 4 se realizará por escrito, incluso en formato electrónico.
- Sin perjuicio de lo dispuesto en los artículos 82, 83 y 84, si un encargado infringe el presente Reglamento al determinar los fines y medios del tratamiento, se considerará responsable del tratamiento.
El artículo 28 del RGPD trata ocho áreas constituyentes que regulan cómo se pueden subcontratar las actividades de procesamiento de datos a terceros proveedores de servicios:
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
No se nos ocurre ninguna empresa cuyo servicio pueda compararse con ISMS.online.
En este apartado hablamos de los artículos 28(10), 28(5) y 28(6) del RGPD.
Las organizaciones deben someterse a un ejercicio de mapeo que enumere los factores internos y externos relacionados con la implementación de un PIMS.
La organización debe poder comprender cómo va a lograr sus resultados de protección de la privacidad, y se debe identificar y abordar cualquier problema que se interponga en el camino de la salvaguardia de la PII.
Antes de intentar abordar la protección de la privacidad e implementar una PII, las organizaciones deben primero comprender sus obligaciones como controlador y/o procesador de PII singular o conjunto.
Esto incluye:
En esta sección hablamos de los artículos 28 (3)(b), (1), (3)(a), (3)(b), (3)(c), (3)(d), (3) del RGPD. )(e), (3)(f), (3)(g) y (3)(h)
Al abordar la seguridad dentro de las relaciones con los proveedores, las organizaciones deben asegurarse de que ambas partes sean conscientes de sus obligaciones con respecto a la privacidad, la seguridad de la información y las de cada uno de ellos.
Al hacerlo, las organizaciones deberían:
Las organizaciones también deben mantener un registro de acuerdos, que enumera todos los acuerdos celebrados con otras organizaciones.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
En esta sección hablamos de los artículos 28 (1), (3)(a), (3)(b), (3)(c), (3)(d), (3)(e), (3) del RGPD. )(f), (3)(g) y (3)(h)
Las organizaciones deben cumplir con los requisitos legales, estatutarios, reglamentarios y contractuales cuando:
Las organizaciones deben seguir procedimientos que les permitan Identifique, analizar y entender obligaciones legislativas y regulatorias, especialmente aquellas que se refieren a la protección de la privacidad y la PII, dondequiera que operen.
Las organizaciones deben ser continuamente conscientes de sus obligaciones de protección de la privacidad cada vez que celebren nuevos acuerdos con terceros, proveedores y contratistas.
Al implementar métodos de cifrado para reforzar la protección de la privacidad y salvaguardar la PII, las organizaciones deben:
Las organizaciones deben describir los detalles de cualquier acuerdo conjunto de procesamiento de PII, con un controlador de PII que lo acompañe; esto incluye medidas de protección generales y todos los requisitos de seguridad asociados.
Las funciones y responsabilidades deben ser claras e inequívocas y describirse en un documento legalmente vinculante (a veces denominado "acuerdo de intercambio de datos").
Los acuerdos pueden incluir (entre otras medidas):
En este apartado hablamos de los artículos 28(3)(e) y 28(3)(f) y 28(9) del RGPD.
Los contratos con los clientes deben incluir:
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
Los contratos deben incluir SLA relacionados con objetivos mutuos y cualquier escala de tiempo asociada en la que deban completarse.
Las organizaciones deben reconocer su derecho a elegir los distintos métodos que se utilizan para procesar la PII, que logren legalmente lo que el cliente busca, pero sin la necesidad de obtener permisos granulares sobre cómo la organización lo hace a nivel técnico.
Las organizaciones deben mantener un conocimiento práctico exhaustivo de cómo las instrucciones tienen el potencial de entrar en conflicto con la legislación aplicable o las obligaciones reglamentarias.
Las infracciones suelen producirse en torno a tres factores.
Las organizaciones deben poder proporcionar a sus clientes suficiente información para que puedan cumplir con sus obligaciones en cualquier momento dado.
La información requerida puede incorporar una amplia gama de funciones, pero normalmente está relacionada con las auditorías internas y el papel de la organización a la hora de facilitarlas mediante el suministro de información.
Las obligaciones de los controladores se rigen por tres factores:
Los contratos deben incluir cualquier información or operaciones tecnicas que permitan a la organización cumplir con sus obligaciones como responsable del tratamiento.
Hay varios escenarios que requieren la eliminación de PII, incluidos (pero no limitados a):
Las organizaciones deben brindar garantías categóricas de que cualquier PII que ya no sea necesaria será destruida de acuerdo con la legislación vigente o las directrices regionales.
Todas las políticas de eliminación deben estar disponibles para el cliente a pedido y deben cubrir el período de tiempo que las organizaciones tienen para destruir la PII, una vez que se rescinde el contrato.
Las organizaciones deben redactar un procedimiento que rija cómo se notifica a los directores de PII sobre solicitudes de información de terceros legalmente vinculantes, incluido un plazo razonable y una estipulación contractual que describa todo el proceso.
Por encima de todo, las organizaciones deben cumplir con las solicitudes de los organismos encargados de hacer cumplir la ley, quienes tienen derecho a solicitar que no se notifique al cliente sobre ninguna solicitud y a asegurarse de no infringir ninguna ley al informar al cliente de la situación de forma accidental o intencional.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
Todas las disposiciones para el uso de subcontratistas deben enumerarse como tales en el contrato SLA/cliente.
La información sobre los subcontratistas debe incluir:
Los NDA deben redactarse para revelar cualquier información que represente un mayor riesgo de seguridad si se expone públicamente.
Las organizaciones deben obtener la aprobación por escrito de sus clientes antes de que una organización externa procese cualquier PII.
Los subcontratistas deben estar sujetos a un acuerdo vinculante (generalmente en forma de contrato escrito), que garantice que los subcontratistas comprendan sus obligaciones para implementar los controles enumerados en el Anexo B de la norma ISO 27701.
Los contratos deben tener en cuenta varios procesos de evaluación de riesgos (ver ISO 27701 Cláusula 5.4.1.2) y todo el alcance de la operación de procesamiento de PII de la organización (ver ISO 27701 Cláusula 6.12). Como se indicó anteriormente, se deben cumplir todos los controles enumerados en el Anexo B, y se deben enumerar las omisiones, junto con las justificaciones para hacerlo.
Siempre que surja la necesidad de cambiar la forma en que la organización subcontrata cualquier elemento de su operación de procesamiento de PII, se debe informar a los clientes de los cambios con suficiente antelación para darles tiempo para cuestionar u objetar dichos cambios.
Los contratos deben incluir cláusulas que prevean la autorización por escrito del cliente para seguir adelante con el cambio, antes de que se procese cualquier PII.
Las organizaciones también pueden solicitar aprobación para cambios dentro de acuerdos escritos ad hoc, fuera de cualquier término contractual.
Artículo del RGPD | Cláusula ISO 27701 | Controles ISO 27002 |
---|---|---|
Artículos 28 (3)(b) a (3)(h) del RGPD UE | 6.12.1.2 | 5.10 5.12 5.13 5.20 |
Artículos 28 (1) a (3)(h) del RGPD UE | 6.15.1.1 | 5.20 |
Artículos 28 (3)(e) y 28 (9) del RGPD UE | 7.2.6 | Ninguna |
Artículos 28 (3)(e) al 28 (9) del RGPD UE | 8.2.1 7.4 8.4 | Ninguna |
Artículo 28, apartado 3, letra a) del RGPD UE | 8.2.2 | Ninguna |
Artículo 28, apartado 3, letra h) del RGPD UE | 8.2.4 | Ninguna |
Artículo 28, apartado 3, letra h) del RGPD UE | 8.2.5 | Ninguna |
Artículo 28, apartado 3, letra h) del RGPD UE | 8.3.1 | Ninguna |
Artículo 28, apartado 3, letra g) del RGPD UE | 8.4.2 | Ninguna |
Artículo 28, apartado 3, letra a) del RGPD UE | 8.5.4 | Ninguna |
Artículos 28 (2) y 28 (4) del RGPD UE | 8.5.6 8.5.2 8.5.7 | Ninguna |
Artículos 28 (2) y 28 (3) (d) del RGPD UE | 8.5.7 5.4.1.2 6.12 | Ninguna |
Artículo 28 (2) del RGPD UE | 8.4 | Ninguna |
Construido según ISO 27701, alineado con otras regulaciones.
Con ISO 27701, puede crear un sistema de gestión de información de privacidad que cumpla con la mayoría de las normas de privacidad. Esto incluye la UE Reglamento General de Protección de Datos, BS 10012 y POPIA de Sudáfrica.
Puede seguir fácilmente el estándar internacional con nuestro software simplificado, seguro y sostenible.
La plataforma todo en uno que ofrecemos garantiza que su trabajo de privacidad se alinee con la norma ISO 27701 y cumpla con sus requisitos.
Descubre más por reservando una breve demostración de 30 minutos.
Ciertamente recomendaría ISMS.online, hace que configurar y administrar su ISMS sea lo más fácil posible.
Si no utiliza ISMS.online, ¡está haciendo su vida más difícil de lo necesario!