-
Las instrucciones documentadas del responsable del tratamiento, incluyendo aquellas relacionadas con las transferencias de datos personales a un tercer país o una organización internacional, informando en su caso, previamente al tratamiento si está obligado a ello en virtud del Derecho de la Unión de los Estados miembros que se aplique al encargado.
-
El deber de confidencialidad en el tratamiento de los datos personales por parte del encargado de tratamiento y garantizar que las personas adecuadas para tratar datos personales se comprometan a respetar la confidencialidad de los datos personales.
-
Las medidas de seguridad de conformidad con el artículo 32 del RGPD “Seguridad del tratamiento”, donde se incluyen acciones mínimas como: seudonimización y cifrado de datos personales, garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico; establecer un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
-
El régimen de subcontratación, cuando el encargado de tratamiento recurra a otro encargado. Esta subcontratación necesita una autorización por parte del responsable del tratamiento indicando si se trata de una autorización general o específica. Se tiene que indicar que el encargado suscriba acuerdo con los subencargados que impongan las mismas obligaciones en materia de protección de datos que las impuestas por el responsable.
-
La forma en que el encargado asistirá al responsable en el cumplimiento de sus obligaciones, mediante medidas técnicas y organizativas apropiadas, para facilitar que este pueda responder el ejercicio de los derechos de los afectados.
-
La colaboración en el cumplimiento de las obligaciones del responsable en materia de seguridad. El contrato deberá establecer un plazo determinado para notificar las brechas de seguridad al responsable del tratamiento, con un plazo adecuado para que el responsable pueda realizar las comunicaciones oportunas.
-
Se tiene que establecer la obligación del encargado de asistir, en su caso, al responsable en las Evaluaciones de impacto.
-
El destino de los datos al finalizar la prestación donde se suprimirá o devolverá todos los datos personales indicando que deberán ser suprimidos o devueltos y eliminadas todas las copias, salvo que exista una obligación legal de conservación conforme al Derecho de la Unión o de los Estados miembros.
Asimismo, el responsable debe elegir un encargado del tratamiento que ofrezca garantías suficientes respecto a la implantación y el mantenimiento de las medidas técnicas y organizativas apropiadas para que el tratamiento de los datos personales sea conforme con los requisitos del RGPD y garantice la protección de los derechos del interesado. Por lo que el encargado de tratamiento tiene que poner a disposición del responsable toda la información necesaria para demostrar que dispone de las garantías apropiadas para la realizar los tratamientos, incluyendo inspecciones y auditorías realizadas por el responsable o por otro auditor autorizado.
Conclusión
La gestión de sistemas de videovigilancia por parte de terceros implica un compromiso legal con la protección de los datos personales. El RGPD establece obligaciones claras tanto para el responsable como para el encargado del tratamiento, y exige que exista un contrato de acceso a datos que regule este acceso con todas las garantías necesarias.
__
¿Te gustaría cumplir con el RGPD/LODGDD? En Grupo CFI te ofrecemos el servicio de implantación RGPD/LOPDGG totalmente personalizado, a medida y a un precio muy asequible al mes, con el fin de que puedas adecuar tus procesos a los requisitos de la normativa. ¿Tienes alguna duda? No dudes en llamarnos sin compromiso al ☎️ 901 001 802.
Cristina Corbillón Gómez
Responsable de Marketing y Comunicación