CONTRATO DE ENCARGADO DE TRATAMIENTO
Este próximo 25 de mayo de 2022, finaliza el plazo para la adaptación de los contratos, en materia de protección de datos, con nuestros proveedores.
En este sentido, la LOPDGDD, introdujo una disposición transitoria quinta para que los contratos entre responsables y encargados se adapten en un plazo máximo de cuatro años –cuando sean indefinidos– o cuando se realice la primera prórroga.
Por un lado, el «responsable de tratamiento» es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.
Por otro lado, el «encargado de tratamiento» es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.
El contrato de confidencialidad y acceso a datos por cuenta de terceros (contrato de encargado de tratamiento) deben formalizarlo aquellas empresas o profesionales, con sus proveedores de servicios, cuando esta prestación de servicios requiera un acceso directo o indirecto a datos de carácter personal. El Reglamento (UE) 2016/679, de 27 de abril, de protección de datos de carácter personal (en adelante RGPD), define este acuerdo como un “contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable”.
Por ejemplo, en el caso del asesoramiento y adaptación al Plan de Igualdad, cuya elaboración se ha encargado a una consultora, ésta última se considera encargada del tratamiento y la propia empresa en la que se va a implantar el plan de igualdad es el responsable del tratamiento. La empresa consultora trata los datos personales de los trabajadores únicamente para elaborar el plan de igualdad y como consecuencia del servicio que está prestando a quién (empresa) contrató sus servicios.
Las relaciones jurídicas que existen entre el responsable de tratamiento y encargado del tratamiento se regirán por un contrato que vincule a ambas partes y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable.
La normativa establece los requisitos que ha de cumplir el contenido de este acto jurídico, y que son los siguientes:
- Instrucciones documentadas por el responsable para el tratamiento de datos a realizar.
- Garantizará que las personas autorizadas a tratar los datos personales se hayan comprometido a respetar la confidencialidad.
- Tomará las medidas de seguridad contempladas en el art. 32 del RGPD, entre las que encontramos la seudonimización y el cifrado de datos personales, y un proceso de verificación, evaluación y valoración de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
- Respetará las condiciones indicadas para recurrir a otro encargado de tratamiento.
- Asistirá al responsable en las solicitudes de ejercicios de derechos de los interesados y que se contemplan en el capítulo III del RGPD: Acceso, Rectificación, Supresión, Limitación, Portabilidad de datos, oposición y a no ser objeto de decisiones individualizadas y automatizadas.
- Suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes
En Grupo Data garantizamos la implantación y mantenimiento de las medidas técnicas y organizativas adecuadas conforme a lo establecido por el legislador y la normativa vigente, es por ello que, nos encontramos a su entera disposición para resolver cuantas dudas le surja.
Publicado el 27 de Mayo de 2022
Por Judith Lorenzo
Departamento Jurídico