Desde el pasado mes, todos los contratos de encargado de tratamiento suscritos con anterioridad al 25 de mayo de 2018 hay obligación de modificarlos y adaptarlos al RGPD.
Responsable y Encargado de Tratamiento
Los conceptos de Responsable y Encargado de Tratamiento tienen un importante valor en el contexto actual europeo de la normativa de protección de datos, pues desempeñan un papel de relevancia en la aplicación del Reglamento (UE) 2016/679, DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Dediquemos un instante a delimitar los conceptos de Responsable y Encargado de Tratamiento. El Responsable del Tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determina los fines y medios del tratamiento, mientras que el Encargado de Tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento. Las figuras del Responsable y del Encargado del Tratamiento se regulan en los arts. 4, 24, 26, 28 y 29 y considerandos 74, 79 y 81 del RGPD, y en los artículos 28 a 33 de la LOPDGDD.
Contratos de Encargado de Tratamiento y su Renovación
La LOPDGDD establece, en su Disposición Transitoria Quinta, que “los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022”, pudiendo exigir cualquiera de las partes, durante estos plazos, la modificación del Contrato de Encargado de Tratamiento para adaptarlo a las exigencias del artículo 28 del RGPD.
Por tanto, los contratos con Encargados de Tratamiento que hayan sido concluidos con anterioridad a la aplicación del citado RGPD, es decir, en mayo del año 2018, deberán ser modificados para adaptarse al contenido dispuesto por el RGPD y la LOPDGDD, sin que sean válidas las meras remisiones genéricas a lo dispuesto en el artículo 28 RGPD, artículo en el que se regulan las principales disposiciones que deben incluirse en el contrato de encargado de tratamiento.
Contenido del contrato de encargado de tratamiento
Es importante recordar que el nuevo Contrato de Encargado de Tratamiento deberá ser redactado en atención a lo dispuesto en el RGPD y, en todo caso, contendrá estipulaciones relativas al objeto del contrato, la duración y naturaleza del mismo, los tipos y categorías de datos personales tratados, la finalidad del tratamiento y cuáles son los derechos y obligaciones del Responsable y del Encargado del Tratamiento.
Para completar esta información de contenido, la guía de directrices para la elaboración de contratos de encargado de tratamiento de la Agencia Española de Protección de Datos (AEPD), se nos detalla el contenido a incluir en el acuerdo o contrato de Encargado de Tratamiento;
- Instrucciones del Responsable. Se identificarán de forma concreta aquellos tratamientos de datos personales llevados a cabo por el Encargado de Tratamiento, incluidas las comunicaciones de datos a otros terceros que puedan derivarse del servicio prestado o sean consecuencia de una exigencia del Responsable.
- Medidas de Seguridad, técnicas y organizativas. El Encargado deberá aplicar, en atención al artículo 32 RGPD y a las tecnologías y medios utilizados en el tratamiento, las medidas de seguridad necesarias para garantizar la seguridad de los datos, incluidas referencias a la seudonimización y cifrado de los datos, y la capacidad de restaurarlos. En todo caso, el Responsable deberá evaluar las mismas antes de proceder al encargo.
- Deber de Confidencialidad. Aquellas personas que traten los datos deberán comprometerse de forma expresa a respetar la confidencialidad de los mismos.
- El contrato deberá contemplar el régimen de subcontratación, es decir, si el Responsable autoriza al Encargado a contar con un subencargado para el tratamiento de datos en la ejecución del servicio.
- Ejercicio de derechos de los interesados. Se determinará cómo colaborará el Encargado con el Responsable para gestionar la obligación de respuesta a las solicitudes de ejercicio de derechos RGPD, tales como el acceso o Supresión de los datos personales.
- Obligaciones del Responsable y colaboración del Encargado, es decir; cómo ayudará al Responsable de Tratamiento el Encargado en lo relativo, entre otras, a la notificación de violaciones de datos y la realización de Evaluaciones de Impacto de Protección de Datos (EIPD).
- Eliminación o devolución de los datos por parte del Encargado tras la finalización del contrato. Deberá indicarse si el Encargado devuelve o suprime los datos.
- El Encargado de Tratamiento deberá permitir la realización de auditorías, incluidas inspecciones, realizadas por el Responsable o por un auditor externo autorizado por el Responsable.
Conclusiones
Os recomendamos, aprovechando esta oportunidad derivada de la exigencia normativa, realizar un análisis de todos los contratos de encargado de tratamiento celebrados hasta la fecha en vuestra empresa. Identificad en primer lugar aquellos contratos celebrados con anterioridad a la aplicación del RGPD, y en los que se pactase una duración indefinida, y proceded a actualizarlos, modificando su contenido en línea con las directrices comentadas. Posteriormente revisad el resto de contratos de encargado de tratamiento suscritos, os recomendamos aplicar las directrices y clausulado a todos los contratos. Desde Legitec podemos ayudaros, entre otras muchas áreas, en la redacción, configuración y adaptación de los nuevos contratos de Encargado de Tratamiento al RGPD y la LOPDGDD.
Autor: Guillermo Coloma