ACUERDOS
Acuerdo de intercambio de datos (DSA) entre controladores independientes
El acuerdo de intercambio de datos entre responsables independientes del tratamiento debe celebrarse cuando al menos dos agentes sean responsables independientes del tratamiento y compartan datos personales entre sí. El intercambio de datos puede ser unilateral o recíproco.
¿Cuál es la diferencia entre un Acuerdo de Intercambio de Datos (DSA) y un Acuerdo de Procesamiento de Datos (DPA)?
Un acuerdo de intercambio de datos y un acuerdo de procesamiento de datos son adecuados para diferentes situaciones. Cuando dos o más responsables independientes del tratamiento cooperan y comparten datos personales entre sí, resulta especialmente adecuado un acuerdo de intercambio de datos (ACD) entre responsables independientes del tratamiento. Cada parte determina el propósito de su propio procesamiento de datos personales, la base legal para su procesamiento y es el único responsable de su procesamiento. En cambio, un acuerdo de procesador de datos es apropiado cuando una empresa procesa datos personales en nombre de otra empresa.
Finalidad del establecimiento de un acuerdo de intercambio de datos
A pesar de que no se establece explícitamente en el RGPD que las empresas deben celebrar un acuerdo de intercambio de datos ,, hay varias reglas en el RGPD que un acuerdo de intercambio de datos ayuda a las empresas a cumplir. Beneficios de establecer y celebrar un acuerdo de intercambio de datos entre responsables del tratamiento independientes:
Las partes regulan qué información debe darse a los interesados, para que sepan qué parte es responsable de qué.
La razón por la que los datos personales de los interesados se comparten entre las partes se formaliza por escrito y se aclara.
La base jurídica sobre la que se apoya el tratamiento se aclara y comunica con transparencia entre las partes.
Se aclaran los derechos de los interesados y las partes deciden cómo tramitar las solicitudes de los interesados para ejercer sus derechos entre sí.
El acuerdo de intercambio de datos ayuda a las empresas a demostrar que cumplen con el RGPD de acuerdo con el principio de responsabilidad.
¿Cuándo deben las partes celebrar un acuerdo de intercambio de datos?
Ambas partes son controladores de datos independientes
Cuando ambas partes (o más) son controladores independientes y comparten datos personales entre sí, deben celebrar un acuerdo de intercambio de datos entre sí. Esto significa que cada parte es el único controlador para su propio procesamiento de los datos personales que se comparten o reciben. Aunque se refiere a los mismos datos personales, las diferentes partes tienen sus propios fines independientes y bases legales para las operaciones de procesamiento que llevan a cabo. El intercambio de datos puede ser unilateral o recíproco. Es decir, solo una o ambas partes pueden compartir datos personales entre sí.
Las Partes no son corresponsables del tratamiento
Los fines del tratamiento de los datos personales recibidos por las Partes no son determinados conjuntamente por las Partes. Por lo tanto, las partes no son corresponsables del tratamiento con arreglo al artículo 26 del RGPD. Si fueran corresponsables del tratamiento, las partes celebrarán en su lugar un «Acuerdo de corresponsabilidad».
Ninguna parte procesa datos personales en nombre de la otra parte
En otras palabras, no hay relación procesador-entre las partes.
Ejemplos de contenido en un acuerdo de intercambio de datos (DSA) entre controladores independientes
Funciones y situación
Debe quedar claro que las partes son controladores independientes. Por lo tanto, determinan su propio propósito de procesamiento. También debe aclararse explícitamente que no existe una relación de corresponsabilidad o de responsable-encargado entre las partes.
Finalidad
La finalidad del tratamiento debe ser siempre explícita y específica. La regla principal es que no está permitido procesar datos personales para otros fines.
Base jurídica
Dado que cada parte es un responsable del tratamiento independiente, debe elegir su propia base jurídica para su tratamiento. Estos deben especificarse en el Acuerdo de intercambio de datos.
Tipo de datos personales
Es importante especificar los tipos de datos personales que se compartirán, de quién y a quién. Por ejemplo, si se trata de datos personales sensibles u otros datos personales sensibles a la privacidad. Tenga en cuenta que esto es importante para hacer buenas evaluaciones de riesgos.
Medidas técnicas y organizativas
Las empresas deben tomar las medidas de seguridad técnicas y organizativas adecuadas de acuerdo con el RGPD, con el fin de proteger los datos personales. Es bueno definir qué medidas de seguridad deben tomar las empresas al compartir datos. Por ejemplo, el uso de cifrado y autenticación.
Compartir con terceros
Con el fin de evitar que los datos personales sean objeto de divulgación no autorizada, es bueno acordar prohibiciones y requisitos para compartir los datos personales con un tercero. Por ejemplo, se requiere un permiso por escrito de la otra parte para compartir los datos personales con terceros, o hay una prohibición total de compartir.
Derechos de los interesados
Los responsables del tratamiento deben poder ejercer los derechos de los interesados. Si varias partes procesan los mismos datos personales y son controladores de datos independientes, es útil aclarar cuál de ellas debe manejar las solicitudes registradas. Además, es bueno incluir la rapidez con la que debe llevarse a cabo el manejo y los medios de comunicación entre las partes.
Obligación de facilitar información
El RGPD impone a los responsables del tratamiento la obligación legal de facilitar información a los interesados. Esto significa, entre otras cosas, que cada parte debe informar a los interesados sobre el tratamiento de sus datos personales de conformidad con el artículo 13 del RGPD y el artículo 14 del RGPD.
Tratamiento de las violaciones de la seguridad de los datos personales
RGPD requiere el manejo de violaciones de datos personales. Es bueno acordar cómo deben actuar las partes del acuerdo en caso de violación de datos personales. Como una violación de datos o correos electrónicos enviados incorrectamente que contengan datos personales. Por ejemplo, el acuerdo de intercambio de datos debe regular cómo debe tener lugar la comunicación entre las partes sobre la violación, en qué plazo, qué parte debe ponerse en contacto con la autoridad nacional de protección de datos y los interesados, etc.
Período de almacenamiento
Los datos personales no pueden almacenarse indefinidamente. Las partes de un acuerdo de intercambio de datos pueden tener diferentes períodos de retención, ya que son controladores independientes y lo determinan ellas mismas. Sin embargo, es bueno incluir los períodos de almacenamiento en el acuerdo. Además, es bueno incluir cómo borrar de forma segura los datos personales.
Resolución del contrato
El Acuerdo de Intercambio de Datos regulará lo que sucede cuando finaliza el acuerdo entre las partes. Por ejemplo, si los datos personales deben eliminarse o si se permite a las partes conservarlos para su posterior procesamiento. Además, es bueno regular cómo se manejarán las solicitudes de derechos de los interesados en el futuro.
APRENDE MÁS
Aviso de privacidad
Las empresas deben informar a los interesados sobre el procesamiento de datos personales, que generalmente se realiza en un aviso de privacidad. Allí, la empresa describe, entre otras cosas, la finalidad del tratamiento, las bases jurídicas, el período de conservación, los derechos de los interesados, etc. Un aviso de privacidad no es lo mismo que una política de privacidad. Un aviso de privacidad es un documento informativo externo dirigido a los interesados. Sin embargo, una política de privacidad es un documento interno que describe cómo funciona la empresa con la protección de datos para sus empleados.