GDPR 10. Los Destinatarios de datos


Cesión de datos a Destinatarios


El Reglamento define  a los Destinatarios en el artículo 4, apartado 9, como la persona física o jurídica, autoridad pública, servicio u organismo que recibe una comunicación de datos personales. Estos sujetos no serán considerados Destinatarios cuando se transmitan datos a las autoridades públicas para una investigación concreta de interés general regulada por la ley.

Atendiendo el Considerando 48 del Reglamento, cuando un Responsable forme parte de un grupo empresarial y pueda tener un interés legítimo en transmitir datos dentro del grupo para fines administrativos, laborales o comerciales, la transmisión tampoco se considerará realizada a un Destinatario.

Para distinguir un Destinatario de datos de un Encargado de tratamiento solo cabe discernir si tratará los datos por su cuenta (Destinatario) o por cuenta del Responsable (Encargado).

Pueden ser Destinatarios de datos las Aseguradoras, Mutuas de accidentes profesionales, Vigilancia de la salud, Subcontratas de empleados, o cualquier empresa que no haya obtenido los datos directamente del interesado (que les han sido transmitidos por otra empresa) y facture directamente al interesado.

En el GDPR no existe ningún artículo dedicado a los Destinatarios, ya que los considera Responsables de los datos recibidos y les aplica el Reglamento como tales. En cambio, sí que nombra los Destinatarios en las disposiciones en que el tratamiento precisa la comunicación de datos a otra organización distinta del Encargado del tratamiento. En este sentido solo se podrán transmitir datos a Destinatarios si se cumplen estos dos requisitos:
  • Es necesario para alcanzar la finalidad del tratamiento.
  • Se informa al interesado de la cesión de datos.

 

Obligaciones del Responsable con los Destinatarios


Para garantizar que la comunicación de datos se realiza de acuerdo con la normativa, el Responsable transmisor deberá suscribir un contrato con el Responsable receptor (Destinatario) donde se refleje la licitud de la obtención de datos y la finalidad de la cesión, advirtiéndole al Destinatario que será el Responsable del tratamiento de dichos datos. No será necesario suscribir un contrato con el Destinatario cuando la transmisión de datos se realice a autoridades u organismos públicos en el ejercicio de sus funciones públicas.

Cuando un Responsable recibe datos como Destinatario, deberá clasificarlos en ficheros y asignarles las categorías de datos y de tratamiento que les correspondan para tratarlos como Responsable.
 

Registro de las actividades del tratamiento


El Responsable o Encargado del tratamiento tendrán la obligación de llevar y conservar actualizado un Registro de las actividades del tratamiento cuando:
 
  • Emplee a un mínimo de 250 personas
  • Pueda suponer un riesgo para los derechos y libertades del interesado y no tenga un carácter ocasional
  • Se traten categorías especiales de datos
  • Se traten datos relativos a condenas y delitos penales

El Registro de actividades deberá contener, entre otra información, el nombre y los datos de contacto de todos los Destinatarios de datos.

 

Información y comunicación a los interesados


El Responsable del tratamiento debe informar al interesado de los Destinatarios o categorías de destinatarios de los datos en el momento de obtener el consentimiento explícito para el tratamiento de datos.

Cuando el tratamiento se realice por una obligación legal o por otros supuestos que no precisen obtener el consentimiento explícito del interesado, se deberá informar de la cesión de datos en los medios informativos que el Responsable ponga a disposición del interesado.

Cuando los datos no se hayan obtenido directamente del interesado y la finalidad del tratamiento precise la transmisión de datos, deberá informarle de este hecho como máximo en el momento en que los datos sean reveladas por primera vez.

 

Ejercicio de los derechos de los interesados


En el caso que exista una comunicación de datos a Destinatarios, el Responsable del tratamiento posibilitará y dará curso al ejercicio de los siguientes derechos del interesado:
 
  • Derecho de acceso: informará al interesado de los Destinatarios o categorías de destinatarios, incluidos los internacionales.
  • Derecho de rectificación de los datos: informará a los Destinatarios para que procedan a la rectificación de los mismos, salvo que sea imposible o exija un esfuerzo desproporcionado.
  • Derecho de supresión de los datos: informará a los Destinatarios para que procedan a la supresión de los mismos, salvo que sea imposible o exija un esfuerzo desproporcionado.
  • Derecho a la limitación del tratamiento: informará a los Destinatarios para que procedan a la limitación del tratamiento, salvo que sea imposible o exija un esfuerzo desproporcionado.
 
 

Seguimiento del curso Experto en el GDPR


Tema anterior: 9. El Corresponsable del tratamiento     Tema siguiente: 11. La seguridad del tratamiento



Información relacionada

 


Esta web utiliza la cookie _ga propiedad de Google Analytics, persistente durante 2 años, para habilitar la función de control de visitas únicas con el fin de facilitarle su navegación por el sitio web.
Si continúa navegando consideramos que está de acuerdo con su uso. Podrá revocar el consentimiento y obtener más información consultando nuestra Política de cookies

ENTENDIDO