Externalización de servicios. El encargado y subencargado del tratamiento. Transferencias internacionales de datos


 

MATRÍCULA CERRADA

 

 

Fecha

2 de abril a 10 de junio de 2018

Precio

Asociados 250 €

No asociados 750 €

Duración

10 semanas / 80 horas

Descripción

Uno de los objetivos esenciales del curso es saber identificar la figura de un prestador de servicios, diferenciándola de figuras afines, aprendiendo a reconocer cuándo la contratación de un servicio conlleva el acceso a datos por un tercero. Estas contrataciones pueden tener lugar con empresas dentro del Espacio Económico Europeo o fuera del mismo, por tanto en este curso se estudia el régimen jurídico en materia de transferencias internacionales.

El alumno aprenderá a saber cómo dotar a la relación jurídica de las garantías contractuales necesarias para poder ser considerada como una prestación de servicios y no como una cesión de datos. Se analizarán las exigencias que derivan del hecho de subcontratar determinadas partes del servicio contratado; de la obligación de garantizar la seguridad de los datos a los que se tenga acceso para la prestación del servicio conociendo qué comprobaciones se deben realizar para elegir al encargado adecuado y cómo debe reflejar el encargado del tratamiento y el responsable del fichero la existencia de su relación en sus documentos de seguridad respectivos. También se tratarán aspectos como los supuestos en los que el encargado debe y puede comunicar los datos a un tercero, las obligaciones relacionadas con la terminación del contrato y con la conservación de los datos y los acuerdos que se pueden adoptar para la correcta atención y respuesta al ejercicio de los derechos de los titulares de los datos afectados por la prestación del servicio atendiendo a los distintos supuestos de hecho que se pueden plantear.

Además en este curso, el alumno conocerá el régimen jurídico aplicable a las transferencias internacionales de datos, prestando especial atención a supuestos específicos tales como cloud computing y las transferencias internacionales de datos entre encargados del tratamiento. Se trata de conocer el concepto de nivel adecuado, el marco regulador aplicable en el Reglamento general de protección de datos a dichas transferencias internacionales, los instrumentos disponibles y casos específicos de aplicación.

 

Objetivos académicos:

  • Conocer los conceptos clave y el régimen jurídico aplicable tanto a la externalización de servicios como a las transferencias internacionales de datos.

  • Aprender los requisitos que debe incluir un contrato de externalización de servicios y los aplicables a una transferencia internacional de datos a partir de ejemplos prácticos.

  • Conocer los instrumentos existentes para las transferencias internacionales de datos, prestando especial atención al Grupo de trabajo del artículo 29, las Decisiones de la Comisión Europea y el Reglamento general de protección de datos.

  • Conocer el significado y alcance del concepto de nivel adecuado y el origen de las garantías adecuadas aplicables a las transferencias internacionales de datos.

  • Conocer el marco que define el Escudo de Privacidad (“Privacy Shield”).

  • Atender a la aplicación práctica de instrumentos para las transferencias internacionales de datos en casos específicos, tales como la computación en la nube y las transferencias internacionales encargado a encargado del tratamiento.

Programa

Unidad 1. Introducción a la externalización de servicios y a la transferencia internacional de datos

  • Figuras que pueden intervenir en el tratamiento de datos: responsable, encargado y subencargado.

  • Distinción entre la cesión o comunicación de datos y el acceso a los datos por el encargado.

  • Concepto de transferencia internacional y de nivel adecuado de protección de datos.

  • Marco normativo general: Desde la LOPD hacia Reglamento general de protección de datos y el Proyecto de LOPD.

Unidad 2. Externalización de servicios

  • Obligaciones del responsable y del encargado del tratamiento.

  • Contrato u otro instrumento jurídico.

  • Cláusulas contractuales tipo de la Comisión Europea.

  • Guía de la Agencia Española de Protección de Datos.

Unidad 3. Contratación de encargados y subencargados del tratamiento

  • Garantías a considerar en el proceso de toma decisión sobre la contratación.

  • Instrucciones del responsable del tratamiento e inclusión en el contrato o instrumento jurídico.

  • Régimen de la subcontratación.

  • Finalización del contrato y devolución o supresión de los datos personales.

Unidad 4. Transferencias internacionales de datos.

  • Destino de la transferencia internacional de datos: países con y sin nivel adecuado.

  • Finalidad de las transferencias: responsable-responsable, responsable-encargado y encargado-encargado.

  • Régimen aplicable a las transferencias internacionales de datos: prohibición de transferencias a terceros países sin nivel adecuado y excepciones.

  • Instrumentos para las transferencias internacionales de datos: cláusulas contractuales, normas corporativas vinculantes, otros instrumentos en el RGPD.

Unidad 5. El Escudo de Privacidad

  • Sentencia del caso Schrems sobre la invalidación del Acuerdo de Puerto Seguro y caso `Schrems 2.0´.

  • Antecedentes del Escudo de Privacidad.

  • Decisión de la Comisión sobre el Escudo de Privacidad.

  • Funcionamiento del Escudo de Privacidad y aplicación a transferencias internacionales desde la UE.

Unidad 6. Cláusulas contractuales tipo

  • Decisiones de la Comisión Europea: base jurídica y conjuntos de cláusulas contractuales tipo.

  • Cláusulas para responsable-responsable del tratamiento.

  • Cláusulas para responsable-encargado del tratamiento.

  • Las cláusulas como garantías jurídicas para transferencias internacionales de datos.

Unidad 7. Normas corporativas vinculantes

  • Concepto y contenido de las normas corporativas vinculantes.

  • Procedimiento de aprobación por la autoridad líder y reconocimiento mutuo.

  • Documentos relevantes del Grupo de trabajo del artículo 29.

  • Autorizaciones internacionales basadas en normas corporativas vinculantes.

Unidad 8. Aplicación en casos concretos

  • Cloud computing.

  • Transferencias internacionales encargado-encargado.

  • Transferencias internacionales en el ámbito de recursos humanos.

  • Análisis de resoluciones de la AEPD.

Competencias

  • Conocimiento básico de la legislación aplicable en materia de protección de datos.

  • Informar y asesorar al responsable o al encargado del tratamiento de las obligaciones que les incumben.

  • Ser capaz de auditar las necesidades de protección de datos de una organización teniendo en cuenta el ordenamiento sectorial antes indicado (no exhaustivo).

  • Conocimiento profundo de la legislación aplicable en materia de protección de datos.

  • Ser capaz de evaluar y verificar el cumplimiento de los objetivos de seguridad definidos por el Reglamento General de Protección de Datos.

  • Ser capaz de integrar en su análisis los requerimientos derivados de la regulación específica en sistemas afectados por el Esquema Nacional de Seguridad y otras normas.

  • Ser capaz de verificar el grado de cumplimiento normativo en materia de protección de datos de una organización.

  • Ser capaz de establecer procedimientos de cooperación con la autoridad de control a solicitud de esta o a iniciativa propia.

  • Actualización al Reglamento general de protección de datos.

Docente

Miguel Recio Gayo

Doctorando en derecho de la protección de datos. Máster en Protección de Datos, Transparencia y Acceso a la Información por la Universidad San Pablo-CEU de Madrid y Máster en Derecho de la Propiedad Intelectual por The George Washington University Law School. Licenciado en Derecho por la Universidad Carlos III de Madrid.

Abogado especializado en protección de datos y derecho digital. Cuenta con una amplia experiencia a nivel nacional e internacional en protección de datos, privacidad y propiedad intelectual. Autor y coautor de varias publicaciones sobre protección de datos y otras áreas del Derecho de las TIC.

Linkedin