El Blog de Lidia Gimeno

Blog sobre Derecho de las nuevas tecnologías y protección de datos

Elementos del contrato entre Encargado y Responsable del Tratamiento

En el día a día de los tratamientos de datos personales, los Encargados del Tratamiento juegan un peso muy importante al realizar un tratamiento por cuenta del Responsable del Tratamiento. Ello puede suceder, por ejemplo, al contratar una empresa que nos habilite una pasarela de pago en nuestra página web de e-commerce; cuando nuestra gestoría nos lleva los papeles de nuestro negocio; o cuando una empresa contrata a otra la realización de nóminas de sus empleados. 

Dado que en el día a día de las empresas y profesionales es muy común la subcontratación de ciertos servicios que convierten a dichos subcontratados en Encargados del Tratamiento, es de vital importancia realizar dicho encargo de cumpliendo con la normativa de protección de datos. Lo contrario implicaría la existencia de una cesión de datos y la comisión de una infracción grave -acorde la LOPD actual- o una multa de hasta 10.000.000 euros según el nuevo Reglamento General de Protección de Datos (art. 83.4).

Dada la importante suma de la sanción acarreada por la infracción de dichas obligaciones, a continuación, se explicarán los elementos básicos que debe contener el contrato escrito existente entre Encargado del Tratamiento y Responsable del Tratamiento en atención a la normativa del Reglamento General de Protección de Datos (RGPD) que entrará en aplicación el próximo 25 de mayo de 2018. 

Ello viene regulado de manera explícita en el artículo 28.3 RGPD.

1. DEBEMOS EXPLICITAR LAS CARACTERÍSTICAS DEL TRATAMIENTO DE DATOS REALIZADO POR ENCARGO DEL RESPONSABLE

El contrato entre las partes deberá indicar, de manera expresa:

  • el objeto del tratamiento;
  • la duración del encargo;
  • la naturaleza del tratamiento (si son de titularidad pública o privada);
  • la finalidad del tratamiento;
  • el tipo de datos personales tratados (datos normales o datos especialmente protegidos);
  • las categorías de Interesados cuyos datos son tratados;
  • las obligaciones del Encargado;
  • y los derechos del Responsable.

Todo ello deberá indicarse de manera clara y concreta y respecto de todos los tratamientos que vaya a realizar el Encargado.

2. INDICAR DE MANERA EXPRESA QUE EL TRATAMIENTO SE LLEVARÁ A CABO ACORDE LAS INSTRUCCIONES DEL RESPONSABLE

Añadido a lo anterior, deberá indicarse, de manera expresa, que el Encargado sólo tratará los datos siguiendo las instrucciones documentadas por el Responsable.

3. INDICACIÓN SOBRE LA CONFIDENCIALIDAD.

En el contrato deberá indicarse, de forma expresa, que el Encargado garantiza al Responsable que aquellas personas autorizadas a acceder a los datos personales tratados (ej. trabajadores del Encargado que deben acceder a los datos para realizar el tratamiento encargado) se han comprometido a respetar la confidencialidad o indicar -si fuera éste el caso- que sobre éstas pesa una obligación de confidencialidad de naturaleza estatutaria.

Las partes deberán pactar la forma en que ello se va a garantizar, debiendo quedar totalmente documentada la garantía de cumplimiento de la confidencialidad.

4. INDICACIONES SOBRE MEDIDAS DE SEGURIDAD.

El contrato deberá indicar que el Encargado tomará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.

Es importante tener en cuenta que, a pesar de ello, el obligado a realizar una Evaluación de Impacto es el Responsable, pero ello no obsta que el Encargado deba realizar una evaluación de riesgos del tratamiento de los datos.

El establecimiento de las Medidas de Seguridad a adoptar habitualmente se realiza indicando un listado exhaustivo de las medidas que el Responsable considera que el Encargado debe tomar o realizando una remisión a un estándar o marco nacional o internacional reconocido.

5. PREVISIONES CONCRETAS SOBRE LA POSIBLE SUBCONTRATACIÓN

El Encargado deberá contar con autorización previa del Responsable para realizar una subcontratación de parte del servicio de tratamiento.

En el contrato puede habilitarse ya la autorización para subcontratar, pudiéndose configurar como genérica o específica (donde ya se indica de manera concreta el subcontratado).

Debe tenerse en cuenta que el Encargado siempre deberá informar al Responsable de la designación de un subencargado o de la sustitución de un subencargado dado que tiene el derecho a oponerse a la misma.

Así mismo, debe tener muy claro el Encargado que si el subencargado incumple el acuerdo existente -por ejemplo, no aplica las medidas de seguridad pactadas- él será responsable ante el Responsable del Tratamiento.

6. COOPERACIÓN EN EL CUMPLIMIENTO DE LA OBLIGACIÓN DE RESPONDER A SOLICITUDES DE EJERCICIOS DE DERECHOS DE INTERESADOS.

El contrato deberá preveer la forma en que el Encargado asistirá al Responsable en el cumplimiento de su obligación de responder a las solicitudes de ejercicio de derechos de los Interesados.

Existen dos formas de preveerlo en función de si el Encargado asume o no la obligación de atender solicitudes:

  • Para el caso que asuma dicha obligación, en el contrato se establecerá de manera clara y concreta el tiempo máximo de atención de las solicitudes y la forma de atenderlas.
  • Para el caso que no asuma dicha obligación, en el contrato se establecerá el tiempo máximo de comunicación al Responsable de cualquier solicitud de ejercicio de derecho que haya recibido y la forma de comunicación.

7. COLABORACIÓN CON RESPONSABLE PARA EL CUMPLIMIENTO DE SUS OBLIGACIONES.

El Encargado está obligado a ayudar al Responsable a garantizar el cumplimiento de sus obligaciones (medidas de seguridad, notificación de violación de seguridad, comunicación de violación de seguridad, EV, consulta previa). 

Por lo tanto, en el Contrato se indicará en qué forma el Encargado le ayudará.

8. SUPRESIÓN O DEVOLUCIÓN DE DATOS PERSONALES A FIN DE ENCARGO.

El Contrato deberá preveer que, al fin del mismo, a elección del Responsable, el Encargado suprimirá o le devolverá los datos personales que ha tratado, debiendo, así mismo, que suprimir las copias existentes que posea -a menos que requiera su conservación por disposición legal-.

Deberán indicarse la forma y plazos para cumplir con dicho proceso de devolución/supresión.

 


Otros posts que pueden ser de interés relacionados con el presente artículo:

Principales novedades del RGPD en la relación entre Encargado y Responsable

¿Debo realizar una Evaluación de Impacto?

¿Qué son las evaluaciones de impacto sobre la protección de datos?

Posts relacionados