25 DE MAYO DE 2022, FECHA FINAL PARA LA ADAPTACIÓN DE LOS CONTRATOS
Este próximo 25 de mayo de 2022, finaliza el plazo para la adaptación de los contratos, en materia de protección de datos, con nuestros proveedores. Desde ese momento, no resultarán validos los contratos firmados al amparo de la Ley Orgánica 15/1999.
En este sentido, la LOPDGDD, introdujo una disposición transitoria quinta para que los contratos entre responsables y encargados se adapten en un plazo máximo de cuatro años –cuando sean indefinidos– o cuando se realice la primera prórroga.
El contrato de confidencialidad y acceso a datos por cuenta de terceros (contrato de encargado de tratamiento) deben formalizarlo aquellas empresas o profesionales, con sus proveedores de servicios, cuando esta prestación de servicios requiera un acceso directo o indirecto a datos de carácter personal. El Reglamento (UE) 2016/679, de 27 de abril, de protección de datos de carácter personal (en adelante RGPD), define este acuerdo como un “contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable”.
La normativa anterior, en este caso, la LOPD 15/1999, regulaba este acuerdo en su art. 12, exigiendo la formalización, y destacando que no resultaba tan exigente con los prestadores de servicios como resulta la normativa vigente.
En cuanto a la obligación de firma de este contrato, se encuentra consagrada en el art. 28 del RGPD y el art. 33 de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos de carácter personal y garantía de los derechos digitales (en adelante LOPDGDD).
Por otro lado, en cuanto a los intervinientes en el acuerdo, el art. 4 del RGPD, define al Responsable del tratamiento como “la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento”; mientras que el encargado del tratamiento resulta definido como “la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento”.
En relación a las particularidades y contenido mínimo del acuerdo, tal y como deviene de lo establecido por el legislador:
- Es un documento que define las responsabilidades, vínculos y acuerdos de las partes.
- No resultan válidos los acuerdos verbales, debiendo constar por escrito.
- En cuanto al contenido, debe regular el objeto, duración, naturaleza y finalidad del tratamiento de datos que se encarga; tipo de datos personales tratados; categorías de interesados de los que el encargado tratará datos directa o indirectamente; obligaciones y derechos del responsable; particularidades de la subcontratación de servicios; las obligaciones del encargado.
Por otro lado, el art. 28.1 del RGPD, establece la obligatoriedad del Responsable de “elegir únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado”.
Además, en relación a las consecuencias de no formalización del acuerdo de encargado de tratamiento, el art. 73 de la LOPDGDD califica el hecho como infracción grave, estableciendo que:
“j) La contratación … de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas…”.
“k) Encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito conforme el artículo 28.3 RGPD”.
“l) La contratación por un encargado … de otros encargados sin contar con la autorización previa del responsable, o sin haberle informado sobre los cambios producidos en la subcontratación cuando fueran legalmente exigibles” .
De igual modo, tal y como deviene de lo establecido en el art. 74 de la LOPDGDD, el hecho conllevará la calificación de infracción muy grave en los siguientes supuestos:
“j) Que el encargado no comunique al responsable acerca de la posible infracción por una instrucción recibida de este de las disposiciones del RGPD…”.
“k) El incumplimiento por el encargado de las estipulaciones impuestas en el contrato o acto jurídico que regula el tratamiento o las instrucciones del responsable del tratamiento”.
Como consecuencia de lo anterior, podemos determinar que el contrato de encargado del tratamiento, no solo da cumplimiento a la normativa vigente, sino que define las responsabilidades entre las partes y exige a los prestadores de servicios mayor diligencia y garantías.
Desde GRUPO DATA, como consultoría especializada en materia de protección de datos, nos encontramos a su disposición para regular estas cuestiones y aclararle las dudas que le surjan.
Publicado el 25 de Marzo de 2022
Por María González
Responsable del Departamento Jurídico