ACUERDOS ESCRITOS
Acuerdo de intercambio de datos dentro del grupo (IGA)
Un acuerdo de intercambio de datos dentro del grupo (IGA) es apropiado para establecer cuándo hay intercambio de datos entre empresas dentro de un grupo de empresas, incluido el intercambio de datos personales.
Intercambio de datos dentro de un grupo de empresas
Dentro de un grupo de empresas, es común que las empresas compartan información, como datos personales, entre sí por varias razones. Sin embargo, es importante tener en cuenta que el intercambio de datos personales no puede tener lugar de ninguna manera. En el RGPD, no hay excepción que signifique que el intercambio de datos personales entre empresas del grupo pueda tener lugar libremente. En cambio, se aplican las mismas normas que para otros intercambios de datos personales cubiertos por el RGPD. Por lo tanto, es bueno que las empresas dentro del grupo corporativo celebren un acuerdo de intercambio de datos dentro del grupo entre sí, para garantizar que el intercambio de datos personales dentro del grupo se lleve a cabo de conformidad con el RGPD.
Antes de que haya un intercambio interno de datos personales, la empresa que realiza el intercambio de datos debe:
- disponer de una base jurídica para llevar a cabo el intercambio de datos;
- Documentar la base jurídica y la finalidad del intercambio de datos;
- Informar a los interesados sobre el intercambio de datos. Esto suele hacerse a través del aviso de privacidad de la empresa;
- Cumplir con las demás normas del RGPD, como los principios de limitación de la finalidad y minimización de datos.
Cuándo puede ser apropiado establecer un acuerdo de intercambio de datos dentro del grupo
- Si las distintas empresas del grupo utilizan sistemas informáticos comunes en todo el grupo.
- Si los registros de los clientes, incluidos los datos personales de los clientes, como los datos de contacto, se comparten dentro del grupo.
- Cuando la comercialización, que implica el procesamiento de datos personales o la elaboración de perfiles, se lleva a cabo a nivel de grupo.
Asignación de roles según RGPD dentro de un grupo
La asignación de funciones en virtud del RGPD entre las partes de un acuerdo de intercambio de datos intragrupo puede ser una de las siguientes, o una combinación de las siguientes:
Todas las partes son controladores de datos independientes para un cierto intercambio de datos que tiene lugar internamente entre las empresas del grupo.
Al menos una parte es el controlador de datos y al menos otra parte es el procesador de datos para un cierto intercambio de datos que tiene lugar internamente entre las empresas del grupo.
Al menos una parte es un procesador de datos y al menos otra parte es su subprocesador para un intercambio de datos particular que tiene lugar internamente entre las empresas del grupo.
Un mínimo de dos partes son corresponsables del tratamiento.
¿Qué contenido debe tener un acuerdo de intercambio de datos dentro del grupo?
Finalidad
¿Cuál es la razón y el propósito por el cual los datos personales deben compartirse internamente dentro del grupo? Por ejemplo, para la gobernanza a nivel de grupo, el cumplimiento de una obligación legal, la racionalización del trabajo dentro del grupo, la coordinación de sistemas o similares. Tenga en cuenta que el propósito debe ser específico y claro.
Datos personales
¿Qué categorías de datos personales se comparten dentro del grupo? Los datos personales pueden ser datos personales ordinarios o sensibles. El acuerdo también debe regular qué volúmenes de datos personales se transfieren, a quién pertenecen los datos personales (es decir, quiénes son los interesados), etc. Es importante tener una visión general de este tipo, a fin de realizar una buena evaluación de riesgos y aplicar medidas de seguridad en consecuencia.
Base jurídica
¿Cuál es la base jurídica para la transferencia de conformidad con el artículo 6 del RGPD? Las empresas deben tener una base legal para poder transferir y compartir datos personales. Esto también se aplica al intercambio de datos internamente dentro de la empresa, así como a otras empresas dentro del grupo. Por ejemplo, una base jurídica puede ser una obligación legal o un interés legítimo. El consentimiento no se utiliza generalmente para el intercambio de datos en un contexto de grupo.
Medidas de seguridad técnicas y organizativas
Las empresas deben implementar medidas de seguridad técnicas y organizativas adecuadas para proteger los datos personales que se procesan. Esto también debe hacerse para cumplir con las demás normas del RGPD, como el cumplimiento de los derechos de los interesados previa solicitud. Es bueno describir qué medidas de seguridad se toman en relación con el intercambio de datos. Por ejemplo, encriptación de datos personales, segmentación de datos personales sensibles, procedimientos escritos implementados, políticas, etc.
Violaciones de datos personales
Cuantas más empresas participen en el intercambio y la recepción de datos, más aumenta la complejidad de las violaciones de datos personales. Por lo tanto, es bueno que las partes regulen quién es responsable de ponerse en contacto con los interesados, la autoridad nacional de protección de datos, cómo deben informar las partes del incidente entre ellos, etc. Tenga en cuenta que la notificación a la autoridad nacional de protección de datos debe tener lugar dentro de las 72 horas posteriores al descubrimiento de la violación.
Derechos de los interesados
Las empresas del grupo deben tener claro cuál de ellas recibe solicitudes de derechos de los interesados, cumple con los derechos a petición, se comunica entre sí sobre solicitudes, plazos, etc. Si no, existe el riesgo de que los interesados terminen en una "tierra de nadie" y no sepan a quién contactar o ser remitidos de ida y vuelta entre las partes.
Período de almacenamiento
Las diferentes empresas del grupo pueden tener diferentes períodos de retención para los datos personales que se procesan dentro del grupo. Por lo tanto, es bueno que la empresa regule esto con más detalle en el Acuerdo de intercambio de datos dentro del grupo. En otras palabras, cuánto tiempo pueden ser tratados los datos personales por las empresas del grupo, cómo deben borrarse los datos personales y cuál de las partes tiene la responsabilidad última de borrar los datos personales.
Prohibición
Se regulará en el acuerdo de intercambio de datos intragrupo si existen prohibiciones o no. Por ejemplo, que los datos personales no pueden ser compartidos con terceros fuera del grupo, a menos que haya un acuerdo complementario por escrito. Otra prohibición que es bueno regular es que los datos personales no pueden ser utilizados para otros fines que los originales.
Transferencias a terceros países
Muchos grupos operan tanto dentro como fuera del área de la UE/EEE. Si hay una transferencia de datos personales de un país dentro de la UE / EEE a un país fuera, constituye una transferencia de datos a un tercer país. En tales casos, puede ser necesaria una evaluación del impacto de la transferencia de datos a terceros países, antes de que tenga lugar cualquier intercambio de datos.
Un Delegado de Protección de Datos (DPO) para todo el grupo corporativo
Es posible que un grupo de empresas que opere en varios países de la UE o del EEE tenga un solo responsable de la protección de datos, en lugar de un responsable de la protección de datos individual para cada empresa en cada país. Sin embargo, puede ser problemático en algunos casos, especialmente para grandes grupos de empresas con millones de clientes. El delegado de protección de datos debe poder desempeñar sus funciones, como responder a las preguntas de los interesados sobre el tratamiento de sus datos personales. Esto puede ser difícil de hacer si solo hay un Oficial de Protección de Datos.
APRENDE MÁS
Acuerdo de intercambio de datos (DSA)
No es raro que dos o más empresas compartan datos personales entre sí, pero tienen sus propios fines de procesamiento y, por lo tanto, son controladores de datos independientes. Cada una de estas partes también determina la base legal para su propio procesamiento de los datos personales, y es responsable de garantizar que el procesamiento se lleve a cabo de acuerdo con el RGPD. En tales casos, es útil establecer un acuerdo de intercambio de datos (DSA) entre dos controladores independientes, con el fin de regular el intercambio de datos y la responsabilidad entre las partes. Tenga en cuenta que un acuerdo de intercambio de datos (DSA) y un acuerdo de procesamiento de datos (DPA) no son lo mismo. Son adecuados para diferentes tipos de relaciones y divisiones de roles entre las partes del acuerdo.