Responsable et sous-traitant : qui engage sa responsabilité ?

Gerente y subcontratista: ¿quién es responsable?

Vigilancia Legal No. 39 – Septiembre de 2021

Gerente y subcontratista: ¿quién es responsable? Muchos responsables del tratamiento de datos recurren a subcontratistas, ya sea en la gestión de recursos humanos, la segmentación publicitaria o la seguridad de los datos.

La utilización de un subcontratista no es insignificante en relación con el RGPD, que especifica y refuerza las respectivas responsabilidades de los diferentes actores.

¿Cuándo hablamos de subcontratación?

La CNIL menciona a título informativo una serie de organismos:

  • Proveedores de servicios de TI (alojamiento, mantenimiento, etc.), integradores de software, empresas de seguridad de TI, empresas de servicios digitales,
  • Agencias de marketing o comunicaciones que procesan datos personales en nombre de clientes y
  • De manera más general, cualquier organización (pública o privada) que ofrece un servicio o prestación que implica el procesamiento de datos personales en nombre de otra organización.

Los editores de software o fabricantes de hardware (lectores de credenciales, equipos biométricos, equipos médicos) que no tienen acceso a datos personales ni los procesan no se consideran subcontratistas.

La responsabilidad del subcontratista reforzada por el RGPD

El reglamento europeo pretende que todas las partes interesadas implicadas en el tratamiento de datos personales sean más responsables y equilibradas.

Los subcontratistas, en particular, ven evolucionar su papel hacia una mayor proactividad: ya no se limitan a seguir las instrucciones del responsable del tratamiento, sino que deben, en virtud del artículo 28 del RGPD, ayudarle en su proceso de cumplimiento continuo: análisis de impacto, notificación de infracciones, seguridad, destrucción de datos, contribución a las auditorías.

¿Quién es responsable? ¿Cuáles son los riesgos para el responsable del tratamiento de datos?

Antes de la entrada en vigor del RGPD, el responsable del tratamiento de datos debía rendir cuentas de las acciones de su subcontratista: este debía ofrecer garantías suficientes para asegurar la aplicación de las medidas de seguridad y confidencialidad de los datos, pero era responsabilidad del responsable del tratamiento asegurar el cumplimiento de estas obligaciones: «la circunstancia de que una violación de datos pueda tener su origen en un error cometido por un subcontratista no influye en la obligación del responsable del tratamiento de garantizar un seguimiento riguroso de las acciones llevadas a cabo por este último», como lo demuestra una deliberación de la CNIL del 6 de septiembre de 2018, que impone una sanción económica al responsable del tratamiento.

Si bien el RGPD no exime al responsable del tratamiento de datos de sus propias obligaciones, sí prevé una mayor responsabilidad para el subcontratista.

Así lo aclaró la CNIL este año, en su primera decisión de enero de 2021.

En un caso de robo de credenciales*, el gerente y el subcontratista tardaron más de un año en implementar la herramienta para detectar y bloquear ataques al sitio web.

El directivo fue multado con 150.000 euros y el subcontratista con 75.000 euros.

La CNIL especifica que «el responsable del tratamiento debe decidir sobre la aplicación de las medidas y dar instrucciones documentadas a su subcontratista. No obstante, el subcontratista también debe buscar las soluciones técnicas y organizativas más adecuadas para garantizar la seguridad de los datos personales y proponerlas al responsable del tratamiento».

En primer lugar: establecer claramente roles y responsabilidades en un contrato

El presente contrato podrá basarse, total o parcialmente, en cláusulas contractuales tipo (CCT).

Desde 2019, tres autoridades europeas de protección de datos (danesa, eslovena y lituana) han adoptado cláusulas contractuales estándar (CCT) para los encargados del tratamiento, sobre las cuales el Comité Europeo de Protección de Datos (CEPD) ha emitido un dictamen. El 4 de junio de 2021, la Comisión Europea publicó sus Cláusulas Contractuales Tipo (CCT) entre responsables y encargados del tratamiento en virtud del RGPD y el Reglamento (UE) 2018/1725.

La CNIL también ofrece ejemplos de cláusulas contractuales en su guía del subcontratista.

El contrato debe definir:

  • La finalidad y duración del servicio
  • La naturaleza y la finalidad del tratamiento
  • El tipo de datos personales procesados
  • Categorías de personas interesadas
  • Obligaciones y derechos del cliente como responsable del tratamiento de datos
  • Las obligaciones y derechos del subcontratista previstos en el artículo 28 del RGPD

El subcontratista estará obligado en particular por las siguientes obligaciones:

  • Designar un delegado de protección de datos, si se trata de una autoridad o un organismo público, si realiza un seguimiento regular y sistemático de personas a gran escala o procesa a gran escala datos denominados «sensibles» o datos relativos a condenas e infracciones penales.
  • Documente sus actividades de subcontratación y mantenga un registro de las operaciones de procesamiento
  • Ofrecer herramientas que respeten los datos personales (por ejemplo, interfaz de información personal, enlace para cancelar la suscripción)
  • Ayudar al responsable del tratamiento de datos a responder a las solicitudes para ejercer los derechos de las personas
  • Garantizar la seguridad de los datos recopilados.

Los problemas de seguridad se encuentran entre los que con mayor frecuencia dan lugar a infracciones y disputas. Por lo tanto, se recomienda al responsable del tratamiento que:

  • Exigir al proveedor de servicios que comunique su política de seguridad de los sistemas de información;
  • Garantizar y documentar la eficacia de las garantías ofrecidas por el subcontratista en materia de protección de datos.
  • Para verificar la eficacia de las medidas, por ejemplo mediante auditorías de seguridad o una visita a las instalaciones.

* El robo de credenciales es un tipo de ciberataque en el que información de cuentas robada, que generalmente consiste en listas de identificaciones de usuarios y contraseñas asociadas (a menudo obtenidas de manera fraudulenta), se utiliza para obtener acceso no autorizado a cuentas de usuarios a través de solicitudes de inicio de sesión automatizadas a gran escala en aplicaciones web.

Y también

Francia:

Allá Fuga de datos de los Hospitales Públicos de París (AP-HP) Se ha notificado a la CNIL la situación relativa a 1,4 millones de personas sometidas a pruebas de COVID-19 a mediados de 2020. La Comisión y el Gobierno han publicado una nota informativa para las personas afectadas.

La ANSSI publica recomendaciones sobre la seguridad de los objetos conectados.

A Servicio de vigilancia y protección contra interferencias digitales externas (Viginum) fue creado por decreto el 13 de julio. Su misión es detectar y analizar contenidos hostiles a Francia en las plataformas digitales, orquestados desde el extranjero.

La mensajería instantánea es correspondencia privada. :En una sentencia del 23 de julio, el Tribunal Industrial de Meaux decidió que la empresa Eurodisney no podía despedir a un empleado debido a una conversación en Messenger a la que no estaba autorizado a acceder, incluso si este servicio de mensajería no estaba protegido con contraseña.

Europa:

La Comisión Europea anunció el 15 de septiembre una Iniciativa legislativa relativa a la ciberseguridad de los objetos conectadosEsto complementará la directiva NIS2 propuesta sobre seguridad de la red.

Después de más de un año de negociaciones, Estados Unidos y Europa aún no han llegado a un acuerdo sobre las transferencias transatlánticas de datosEstas conversaciones tienen como objetivo resolver el vacío legal dejado por la sentencia Schrems II del Tribunal de Justicia de la Unión Europea que anula el Escudo de Privacidad.

Sin embargo, existen esfuerzos de cooperación, por ejemplo en el campo de la inteligencia artificial y la regulación de plataformas que distribuyen contenidos ilegales en línea.

Esto es lo que se desprende del comunicado inaugural del Consejo de Comercio y Tecnología UE-EE.UU. del 29 de septiembre.

Desde el 27 de septiembre, las transferencias de datos a un país fuera de la Unión Europea que se considere que no ofrece un nivel de protección adecuado deben basarse en la Versión modernizada de las cláusulas contractuales estándar de la Comisión Europea, publicada el 4 de junio.

El Supervisor Europeo de Protección de Datos publicó el 24 de septiembre un dictamen sobre la propuesta de la Comisión Europea relativa a la lucha contra el blanqueo de dinero, en el que destaca los principios de necesidad y proporcionalidad de los datos personales recogidos.

La autoridad belga publicó el 23 de septiembre un aviso relativo a la ampliación del uso de la Seguro contra el Covid Entrada a lugares y eventos de la vida cotidiana.

Recuerda la obligación de demostrar la necesidad y proporcionalidad de este “pase sanitario” y la injerencia en la vida privada que implica.

En los círculos de protección de datos, la autoridad irlandesa todavía se considera un cuello de botella en lo que respecta al cumplimiento del RGPD..

Observemos, sin embargo, su comunicación del 17 de septiembre, junto con la autoridad italiana, en relación con laEl impacto de las funciones de vídeo y fotografía de las gafas de Facebook en materia de privacidad.

Al mismo tiempo, La autoridad noruega anunció su decisión de no utilizar más Facebook para sus comunicaciones, tras una evaluación de impacto sobre la protección de datos.

EL Ministerio de Defensa de Lituania recomendó en una comunicación fechada el 21 de septiembre no utilizar el teléfonos chinos como Xiaomi Corp, que integra software para detectar y censurar determinados mensajes.

Internacional :

El primer G7 de autoridades de protección de datos reunió los días 7 y 8 de septiembre a las autoridades de Francia, Italia, Canadá, Gran Bretaña, Alemania, Japón y Estados Unidos, bajo la presidencia del Reino Unido.

Las autoridades discutieron cuestiones internacionales de protección de datos, incluidos los flujos de datos transfronterizos, cuestiones relacionadas con la pandemia y el desarrollo de la inteligencia artificial.

Uruguay, considerado por la Unión Europea como un país que garantiza un nivel adecuado de protección de datos personales, ha actualizado su propia evaluación de los países a los que es legalmente posible la transferencia de datos.

Esta evaluación excluye a los Estados Unidos países con un nivel de protección adecuado.

Las transferencias de datos entre Uruguay y Estados Unidos ahora deberán contar con garantías específicas, como el cumplimiento de cláusulas contractuales apropiadas.

Anne Christine Lacoste

Socia de Olivier Weber Avocat, Anne Christine Lacoste es abogada especializada en derecho de datos, fue responsable de Relaciones Internacionales en el Supervisor Europeo de Protección de Datos y trabajó en la implementación del RGPD en la Unión Europea.

Descubra Viqtor®
es_ESES
fr_FRFR en_USEN de_DE_formalDE elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL es_ESES