Saltear al contenido principal

Externalización de Servicios. El Encargado y Subencargado del Tratamiento. Transferencias Internacionales de Datos

Uno de los objetivos esenciales del curso es saber identificar la figura de un prestador de servicios, diferenciándola de figuras afines, aprendiendo a reconocer cuándo la contratación de un servicio conlleva el acceso a datos por un tercero. Estas contrataciones pueden tener lugar con empresas dentro del Espacio Económico Europeo o fuera del mismo, por tanto en este curso se estudia el régimen jurídico en materia de transferencias internacionales.

El alumno aprenderá a saber cómo dotar a la relación jurídica de las garantías contractuales necesarias para poder ser considerada como una prestación de servicios y no como una cesión de datos. Se analizarán las exigencias que derivan del hecho de subcontratar determinadas partes del servicio contratado; de la obligación de garantizar la seguridad de los datos a los que se tenga acceso para la prestación del servicio conociendo qué comprobaciones se deben realizar para elegir al encargado adecuado y cómo debe reflejar el encargado del tratamiento y el responsable del fichero la existencia de su relación en sus documentos de seguridad respectivos. También se tratarán aspectos como los supuestos en los que el encargado debe y puede comunicar los datos a un tercero, las obligaciones relacionadas con la terminación del contrato y con la conservación de los datos y los acuerdos que se pueden adoptar para la correcta atención y respuesta al ejercicio de los derechos de los titulares de los datos afectados por la prestación del servicio atendiendo a los distintos supuestos de hecho que se pueden plantear.

Además en este curso, el alumno conocerá el régimen jurídico aplicable a las transferencias internacionales de datos, prestando especial atención a supuestos específicos tales como cloud computing y las transferencias internacionales de datos entre encargados del tratamiento. Se trata de conocer el concepto de nivel adecuado, el marco regulador aplicable en el Reglamento general de protección de datos a dichas transferencias internacionales, los instrumentos disponibles y casos específicos de aplicación.

Objetivos académicos

  • Conocer los conceptos clave y el régimen jurídico aplicable tanto a la externalización de servicios como a las transferencias internacionales de datos.
  • Aprender los requisitos que debe incluir un contrato de externalización de servicios y los aplicables a una transferencia internacional de datos a partir de ejemplos prácticos.
  • Conocer los instrumentos existentes para las transferencias internacionales de datos, prestando especial atención al Grupo de trabajo del artículo 29, las Decisiones de la Comisión Europea y el Reglamento general de protección de datos.
  • Conocer el significado y alcance del concepto de nivel adecuado y el origen de las garantías adecuadas aplicables a las transferencias internacionales de datos.
  • Conocer el marco que define el Escudo de Privacidad (“Privacy Shield”).
  • Atender a la aplicación práctica de instrumentos para las transferencias internacionales de datos en casos específicos, tales como la computación en la nube y las transferencias internacionales encargado a encargado del tratamiento.

Competencias

  • Conocimiento básico de la legislación aplicable en materia de protección de datos.
  • Informar y asesorar al responsable o al encargado del tratamiento de las obligaciones que les incumben.
  • Ser capaz de auditar las necesidades de protección de datos de una organización teniendo en cuenta el ordenamiento sectorial antes indicado (no exhaustivo).
  • Conocimiento profundo de la legislación aplicable en materia de protección de datos.
  • Ser capaz de evaluar y verificar el cumplimiento de los objetivos de seguridad definidos por el Reglamento General de Protección de Datos.
  • Ser capaz de integrar en su análisis los requerimientos derivados de la regulación específica en sistemas afectados por el Esquema Nacional de Seguridad y otras normas.
  • Ser capaz de verificar el grado de cumplimiento normativo en materia de protección de datos de una organización.
  • Ser capaz de establecer procedimientos de cooperación con la autoridad de control a solicitud de esta o a iniciativa propia.
  • Actualización al Reglamento general de protección de datos.
Programa

Unidad 1. Introducción a la externalización de servicios y a la transferencia internacional de datos

  • Figuras que pueden intervenir en el tratamiento de datos: responsable, encargado y subencargado.
  • Distinción entre la cesión o comunicación de datos y el acceso a los datos por el encargado.
  • Concepto de transferencia internacional y de nivel adecuado de protección de datos.
  • Marco normativo general: Desde la LOPD hacia Reglamento general de protección de datos y el Proyecto de LOPD.

Unidad 2. Externalización de servicios

  • Obligaciones del responsable y del encargado del tratamiento.
  • Contrato u otro instrumento jurídico.
  • Cláusulas contractuales tipo de la Comisión Europea.
  • Guía de la Agencia Española de Protección de Datos.

Unidad 3. Contratación de encargados y subencargados del tratamiento

  • Garantías a considerar en el proceso de toma decisión sobre la contratación.
  • Instrucciones del responsable del tratamiento e inclusión en el contrato o instrumento jurídico.
  • Régimen de la subcontratación.
  • Finalización del contrato y devolución o supresión de los datos personales.

Unidad 4. Transferencias internacionales de datos.

  • Destino de la transferencia internacional de datos: países con y sin nivel adecuado.
  • Finalidad de las transferencias: responsable-responsable, responsable-encargado y encargado-encargado.
  • Régimen aplicable a las transferencias internacionales de datos: prohibición de transferencias a terceros países sin nivel adecuado y excepciones.
  • Instrumentos para las transferencias internacionales de datos: cláusulas contractuales, normas corporativas vinculantes, otros instrumentos en el RGPD.

Unidad 5. El Escudo de Privacidad

  • Sentencia del caso Schrems sobre la invalidación del Acuerdo de Puerto Seguro y caso `Schrems 2.0´.
  • Antecedentes del Escudo de Privacidad.
  • Decisión de la Comisión sobre el Escudo de Privacidad.
  • Funcionamiento del Escudo de Privacidad y aplicación a transferencias internacionales desde la UE.

Unidad 6. Cláusulas contractuales tipo

  • Decisiones de la Comisión Europea: base jurídica y conjuntos de cláusulas contractuales tipo.
  • Cláusulas para responsable-responsable del tratamiento.
  • Cláusulas para responsable-encargado del tratamiento.
  • Las cláusulas como garantías jurídicas para transferencias internacionales de datos.

Unidad 7. Normas corporativas vinculantes

  • Concepto y contenido de las normas corporativas vinculantes.
  • Procedimiento de aprobación por la autoridad líder y reconocimiento mutuo.
  • Documentos relevantes del Grupo de trabajo del artículo 29.
  • Autorizaciones internacionales basadas en normas corporativas vinculantes.

Unidad 8. Aplicación en casos concretos

  • Cloud computing.
  • Transferencias internacionales encargado-encargado.
  • Transferencias internacionales en el ámbito de recursos humanos.
  • Análisis de resoluciones de la AEPD.
Fechas del curso

26 noviembre a 17 febrero 2018

Duración

10 semanas / 80 horas

Formato

100% Online

Precios

250€ (asociados) 750€ (no asociados) IVA incluido

Miguel Recio Gayo

Doctorando en derecho de la protección de datos. Máster en Protección de Datos, Transparencia y Acceso a la Información por la Universidad San Pablo-CEU de Madrid y Máster en Derecho de la Propiedad Intelectual por The George Washington University Law School. Licenciado en Derecho por la Universidad Carlos III de Madrid.

Abogado especializado en protección de datos y derecho digital. Cuenta con una amplia experiencia a nivel nacional e internacional en protección de datos, privacidad y propiedad intelectual. Autor y coautor de varias publicaciones sobre protección de datos y otras áreas del Derecho de las TIC.

Linkedin

Volver arriba