La consulta plantea si las empresas de seguridad con acceso remoto a las imágenes de sus clientes requieren formalizar un contrato de encargado de tratamiento en los términos del art.28 del Reglamento 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016, relativo a la protección de las personas físicas, en adelante “RGPD”.
Debemos distinguir dos tipos de prestación de servicios:
- Instalación y/o mantenimiento sin acceso a las imágenes.
- Instalación y/o mantenimiento con acceso a esas imágenes.
Únicamente en el segundo caso, la empresa de seguridad es considerada encargada de tratamiento y por lo tanto siguiendo lo previsto en el RGPD es ineludible la celebración del contrato de acceso a datos por cuenta de terceros.
Según el art.28.1 del RGPD, cuando se realice un tratamiento por cuenta del responsable del tratamiento, éste debe elegir a aquel encargado que le ofrezca las garantías suficientes para aplicar las medidas de seguridad técnicas y organizativas apropiadas.
Además, de conformidad con el art.28.3 del RGPD, el tratamiento se regirá por un contrato o acto jurídico y que establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, así como las obligaciones y derechos del responsable.
IMPORTANTE
Si la instalación se realiza en el domicilio de un particular, la empresa de seguridad adquiere la condición de responsable del tratamiento.
