Los acuerdos de procesamiento de datos deben ser por escrito para que sean válidos bajo el RGPD. A falta de requisitos formales en la legislación aplicable, se aplican tanto los acuerdos orales como los escritos. Sin embargo, es más fácil probar acuerdos escritos en caso de una disputa, y por lo tanto puede ser bueno tener los acuerdos documentados. Además, puede evitar una disputa si las partes saben que hay acuerdos escritos que se pueden probar. En algunos casos, sin embargo, existe un requisito legal de que un acuerdo debe ser por escrito y luego los acuerdos orales son inválidos.
Ejemplos de empresas que son procesadores de datos:
- Empresas de contabilidad
- Agencias web
- Proveedores de servicios en la nube
Tenga en cuenta que una empresa puede ser un controlador de datos para ciertas operaciones de procesamiento y un procesador de datos para otros. Por ejemplo, una empresa de contabilidad es un controlador de datos con respecto al procesamiento de datos personales de sus propios empleados, mientras que un procesador de datos cuando la empresa de contabilidad procesa datos personales en nombre de sus clientes.
RGPD: Los acuerdos de procesamiento de datos deben ser por escrito para que sean válidos
Del artículo 28, apartado 3, del RGPD se desprende que los acuerdos de tratamiento de datos deben celebrarse por escrito. Además, es un requisito celebrar un acuerdo de procesamiento de datos personales cuando un controlador contrata a un procesador de datos personales. Un procesador es un actor que procesa datos personales en nombre de un controlador. Es el responsable del tratamiento quien determina la finalidad del tratamiento.
Cuando un procesador contrata a un subprocesador, también debe firmar un acuerdo de procesamiento de datos por escrito
Es posible que un procesador contrate un subprocesador, siempre que el procesador reciba permiso por escrito del controlador. Además, el encargado del tratamiento y el subencargado del tratamiento deben celebrar un acuerdo escrito de tratamiento de datos entre sí, a fin de garantizar que los interesados gocen de la misma protección que en el acuerdo entre el responsable del tratamiento y el encargado del tratamiento.
Ejemplos de cuándo puede ser relevante para un procesador de datos personales contratar a un subprocesador
- La agencia web contrata a una empresa de análisis: Una empresa es un controlador de datos y contrata a una agencia web para construir y mantener su sitio web. La agencia web es entonces un procesador de datos cuando procesan datos personales en nombre del controlador de datos. El responsable del tratamiento desea poder analizar estadísticas (como el comportamiento de compra en el sitio web). Dado que la agencia web no tiene esa competencia, la agencia web contrata a una empresa de análisis para esa tarea. La empresa de análisis es entonces un subprocesador de la agencia web que es un procesador de datos personales.
- Instalación de una herramienta de chat en el sitio web: Si la empresa que es el controlador también quiere que los clientes puedan chatear directamente con la empresa en el sitio web, pero la agencia web necesita usar una herramienta de chat de un proveedor de servicios para implementarla, el proveedor de servicios también es un subprocesador.