<\/p>\n\n\n\n
La obligaci\u00f3n de diligencia y verificaci\u00f3n de que el encargado mantiene los sistemas seguros es responsabilidad del responsable de tratamiento como se puede ver en una reciente Resoluci\u00f3n de la AEPD que establece una Sanci\u00f3n de<\/strong> \ud835\udfee\ud835\udfec\ud835\udfec.\ud835\udfec\ud835\udfec\ud835\udfec euros a un centro hospitalario por deficiencias de seguridad en sus sistema de gesti\u00f3n hospitalaria.<\/strong> <\/p>\n\n\n\n El caso expone fallos espec\u00edficos en la relaci\u00f3n jur\u00eddica entre el hospital (responsable del tratamiento) y la empresa que provee y gestiona el software (encargado del tratamiento), de acuerdo con lo dispuesto en el Art\u00edculo 28 del RGPD:<\/p>\n\n\n\n \u00b7 Contrato de Encargo de Tratamiento:<\/strong> El RGPD establece que el responsable solo debe contratar con encargados que ofrezcan garant\u00edas suficientes para implementar las medidas de seguridad necesarias. La Resoluci\u00f3n de la AEPD consideraba que el contrato con la empresa tecnol\u00f3gica no detallaba adecuadamente las medidas de protecci\u00f3n de datos exigidas, y el hospital no realiz\u00f3 una verificaci\u00f3n exhaustiva de la capacidad de la empresa para cumplir con las normas del RGPD.<\/p>\n\n\n\n \u00b7 Supervisi\u00f3n del Encargado<\/strong>: Igualmente la AEPD consider\u00f3 que el hospital no monitoriz\u00f3 adecuadamente el cumplimiento de las medidas de seguridad por parte del encargado. Esto incluye auditor\u00edas peri\u00f3dicas y revisiones de seguridad para garantizar que las pol\u00edticas y medidas de seguridad se aplicaban de manera efectiva. La falta de supervisi\u00f3n facilit\u00f3 un entorno donde las deficiencias pasaron desapercibidas, lo que result\u00f3 en vulnerabilidades significativas para los datos de los pacientes.<\/p>\n\n\n\n \u00b7 Evaluaci\u00f3n y Gesti\u00f3n de Riesgos Compartida<\/strong>: Aunque el encargado tiene la responsabilidad de aplicar las medidas de seguridad necesarias, la AEPD recuerda en su Resoluci\u00f3n que el responsable del tratamiento debe verificar y exigir que dichas medidas sean efectivas y suficientes. En este caso, el hospital no coordin\u00f3 adecuadamente con la empresa tecnol\u00f3gica para evaluar y gestionar los riesgos asociados al tratamiento de los datos personales. No se realizaron auditor\u00edas de seguridad, ni se coordin\u00f3 para mitigar los riesgos identificados.<\/p>\n\n\n\n \u00b7 Responsabilidad<\/strong>: En caso de incumplimiento de la normativa, tanto el responsable como el encargado pueden ser responsables de las infracciones, conforme a lo dispuesto en el RGPD. La sanci\u00f3n impuesta al hospital ilustra que ambos, responsable y encargado, tienen obligaciones de aseguramiento de la seguridad de los datos, y que la responsabilidad no se limita solo al encargado.<\/p>\n\n\n\n Esta resoluci\u00f3n sancionadora de la AEPD ilustra la importancia de una adecuada implementaci\u00f3n de medidas de seguridad y un cumplimiento riguroso de las obligaciones de los responsables y encargados del tratamiento en protecci\u00f3n de datos. El RGPD enfatiza que ambos deben actuar diligentemente para proteger los derechos de los interesados, en este caso los pacientes, y asegura que el tratamiento de sus datos se realiza en un entorno seguro y conforme a la normativa.<\/p>\n<\/div><\/div>\n<\/div><\/div>\n\n\n\n <\/p>\n","protected":false},"featured_media":12039,"template":"novedad-corporativa-single-post.php","categories":[],"tags":[155,154],"novedades_corporativa":[],"acf":[],"yoast_head":"\nArt\u00edculo 28 del RGPD:<\/strong> Relaci\u00f3n entre Responsable y Encargado del Tratamiento<\/h2>\n\n\n\n
Conclusi\u00f3n<\/h3>\n\n\n\n