La Agencia Danes de Protección de Datos ha efectuado una inspección escrita planificada concentrándose sobre el uso de los datos personales como datos de prueba y el uso de sub-encargados de tratamiento. 

La Agencia Danes de Protección de Datos ha completado un audit escrito y programado de SDC A/S, que se ha ocupado del uso por parte de la sociedad de informaciones sobre la personas físicas en los entornos de prueba y el uso de la empresa de sub encargados de tratamiento. 

En relación al uso de los datos personales como datos de test, la Agencia Danes de Protección de Datos se ha concentrado sobre el hecho que SDC A/S ha efectuado la necesaria evaluación del riesgo de los derechos de los interesados en los entornos de prueba, donde el entorno es diferente desde los sistemas en función en los cuales la empresa procesa datos en nombre de los responsables del tratamiento. 

Para lo que concierne los sub-encargados del tratamiento, la supervisión se ha concentrado sobre el hecho que la sociedad ha impuesto a sus sub-encargados las mismas obligaciones de la sociedad misma – en calidad de encargado de tratamiento – han sido impuesto en los acuerdos con dos selecciones de los encargados del tratamiento. 

Uso de las informaciones de las personas físicas en los entornos de prueba. 

Basándose en las informaciones recibidas, la Agencia Danes de Protección de Datos ha elegido concentrarse sobre un sistema IT. 

La Agencia Danes de Protección de Datos ha examinado en particular si la SDC A/S había rechazado la necesaria evaluación del riesgo para los derechos de los interesados en relación al uso de las informaciones sobre las personas físicas. De las normas de protección de datos se desprende que los encargados y procesadores deben garantizar -sobre la base de una evaluación del riesgo para los derechos de los interesados- que se establezcan medidas de seguridad adecuadas. A este respecto, el Organismo Danés de Protección de Datos opina que esta evaluación debería, al menos, adoptar una posición al respecto:

• amenazas pertinentes a la confidencialidad, disponibilidad e integridad de la información procesada sobre los interesados,
• evaluar para cada amenaza la probabilidad de que la amenaza individual sea real para la actividad de procesamiento en cuestión, y
• para cada amenaza evaluar las posibles consecuencias para las personas.

Sobre la base de la probabilidad y las consecuencias de la amenaza individual, se puede evaluar el riesgo, incluso en relación con las medidas existentes que se hayan adoptado.

Tras examinar el material que SDC A/S había enviado a la Agencia Danesa de Protección de Datos, la Autoridad estimó que la evaluación de riesgos de la empresa no contenía los elementos mencionados anteriormente. En general, la Agencia Danesa de Protección de Datos determinó que SDC A/S no había adoptado un enfoque basado en los riesgos para la seguridad del procesamiento en relación con el procesamiento específico.

En este contexto, la Agencia Danesa de Protección de Datos encontró motivos de crítica.

Información general sobre los entornos de ensayo y los datos de producción

En general, el Organismo Danés de Protección de Datos debe subrayar que también se presta la atención necesaria en relación con la elaboración y el ensayo si se procesa información sobre las personas. El Organismo Danés de Protección de Datos ha visto casos en que los promotores, solos, en cooperación con la empresa o como parte convenida del desarrollo, utilizan datos de producción (es decir, información sobre las personas a partir de la configuración operativa) para garantizar la calidad de la solución. No hay nada – necesariamente – malo en ello, siempre y cuando haya una evaluación del riesgo para los derechos de los interesados, y sobre la base de ésta se haya establecido una seguridad adecuada antes de iniciar el procesamiento, y en todos los casos en que el riesgo de inscripción pueda ser alto, se haya realizado una evaluación de los efectos.

En pocas palabras, si desea utilizar los datos de producción, en principio debe haber la misma seguridad en su entorno de desarrollo y pruebas que se evalúa como adecuada en su configuración operativa.

La Agencia Danesa de Protección de Datos tiene previsto publicar una guía sobre datos de prueba antes de finales de año.

Utilización de sub-encargados.

En relación con la auditoría, la Agencia Danesa de Protección de Datos examinó una copia de los contratos de procesamiento de datos de SDC A/S con dos clientes seleccionados de los que SDC A/S es encargado del tratamiento. Además, la Agencia Danesa de Protección de Datos ha examinado una copia de los acuerdos de SDC A/S con tres sub-encargados específicos, que SDC A/S utiliza en relación con el tratamiento de datos personales que la empresa lleva a cabo en nombre de los dos clientes encargados del tratamiento.

El Reglamento de Protección de Datos establece una serie de requisitos específicos para el contenido de un contrato de tratamiento de datos. El acuerdo debe, entre otras cosas, contener información sobre las tareas que el encargado del tratamiento tiene en relación con la ejecución de la tarea en cuestión para el encargado del tratamiento, así como si el encargado puede utilizar sub-encargados en relación con la tarea.

El propósito del examen de los acuerdos del SDC A/S con los clientes de los dos responsables del tratamiento de datos y los tres sub-encargados fue en particular evaluar si la empresa ha impuesto a sus sub encargados las mismas obligaciones que el SDC A/S ha impuesto a los encargados del tratamiento.

Tras un examen de los acuerdos, el Organismo Danés de Protección de Datos determinó que SDC A/S había impuesto a sus subprocesadores las mismas obligaciones que la propia empresa había impuesto a sus subprocesadores en sus acuerdos de tratamiento de datos con dos encargados seleccionados, lo que está en consonancia con las normas. FUENTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA DANIMARCA