¿Has pensado ya en adaptar tus contratos de encargado de tratamiento al RGPD?

Hoy en nuestro blog queremos centrarnos en una figura muy relevante en materia de protección de datos: el “Encargado del Tratamiento”.

 Por “Encargado del Tratamiento” entendemos aquellos proveedores o prestadores de servicios que tienen tratan datos personales de responsabilidad del cliente, actuando por cuenta de este último.

Así, por ejemplo, una gestoría puede acceder a los datos personales de los empleados de una empresa al preparar sus nóminas por cuenta de la empresa que le ha contratado el servicio.

Otros ejemplos típicos de prestaciones de servicio que puedan dar lugar al tratamiento de datos personales serían los suscritos con asesorías fiscales, laborales y laborales, centros de atención al usuario, empresas que realizan la instalación y mantenimiento del sistema de registro de jornada, de las cámaras de videovigilancia, del ERP, equipos informáticos, empresas que presten los servicios de hosting, de copias de seguridad, entre otros.

¿Qué ha cambiado con el RGPD?

Contratos encargado del tratamiento Elece Legal Zaragoza

 

La antigua Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (“LOPD”) ya obligaba a las empresas a suscribir con este tipo de prestadores de servicio un contrato para regular las condiciones del tratamiento de este tipo de datos de responsabilidad del cliente, los deberes de confidencialidad y de establecer una serie de medidas de seguridad, así como las obligaciones de uso exclusivo de dichos datos para la prestación del servicio contratado y de destrucción de forma segura dichos datos, o devolución a la finalización del servicio.

El artículo 28.3 del Reglamento Europeo de Protección de Datos (“RGPD”) ha ampliado sustancialmente el contenido obligatorio que deberá estipularse en este tipo de contratos, que deberán formalizarse necesariamente por escrito, de forma que dicho acuerdo deberá incluir expresamente otras estipulaciones adicionales relativas a las obligaciones del Encargado de Tratamiento frente a la empresa/autónomo que contrató sus servicios, quien tendría la consideración de “Responsable del Tratamiento”. Entre otras:

  1. Asistirle en el cumplimiento de las obligaciones impuestas por el RGPD, como:
  • responder a las solicitudes de ejercicio de los derechos planteadas por los interesados;
  • garantizar la implementación de medidas de seguridad para velar por la integridad, disponibilidad y confidencialidad de la información;
  • realizar evaluaciones de riesgos y de impacto;
  • efectuar las notificaciones de brechas de seguridad a la AEPD y a los afectados;
  • plantear consultas previas ante la autoridad de control.
  1. Garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria.
  2. Poner a disposición de su cliente toda la información necesaria para demostrar el cumplimiento de las medidas indicadas en el contrato de encargo del tratamiento, así como permitir y contribuir a la realización de auditorías e inspecciones, por parte del responsable o de auditor autorizado por el responsable.

Por tanto, todas las empresas deberán revisar los contratos suscritos con este tipo de prestadores de servicio y adaptarlos a la normativa vigente. 

25 de mayo de 2022, fecha límite para adaptar tus contratos de encargado del tratamiento de datos personales.

Pero, ¿Para esto no teníamos el mismo plazo de adaptación general del 25 de mayo de 2018?

La Disposición Transitoria 5ª de la nueva Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales (“LOPDGDD”), establece que los <<contratos de encargado de tratamiento” suscritos antes del 25 de mayo de 2018 conforme a la antigua normativa (artículo 12 LOPD), mantendrán su vigencia hasta la fecha señalada en los mismos y, en caso de haberse pactado de forma indefinida, con fecha límite el 25 de mayo de 2022>>.

En cualquiera de los casos, durante los plazos indicados, cualquiera de las partes (cliente o prestador del servicio) puede exigir a la otra la modificación del contrato de encargado de tratamiento en cualquier momento a fin de que resulte conforme a lo dispuesto en el RGPD y en la LOPDGDD; lo que suele pasar con ocasión de los planes de adaptación de las empresas al RGPD.

¿Conoces bien a tus encargados del tratamiento?

El RGPD y la doctrina también imponen la obligación de las empresas de ser diligentes a la hora de escoger a sus Encargados de Tratamiento, de forma que los mismos presten garantías de cumplimiento del RGPD.

El hecho de que un encargado del tratamiento esté adherido a un código de conducta o a un mecanismo de certificación podrá utilizarse para demostrar la existencia de garantías suficientes de protección de los datos tratados de los interesados y del respeto de sus derechos.

Identificar y conocer a nuestros Encargados de Tratamiento no es tarea sencilla:

No todos los prestadores de servicios con acceso a datos personales tienen la condición de “Encargados de Tratamiento”. Determinadas empresas, debido a estar sometidas a regulaciones específicas sujetas a secreto empresarial, tendrán la condición de “Responsable de Tratamiento” y, por tanto, no será preciso firmar un contrato con ellas. Este sería el caso, por ejemplo, de las empresas de mensajería y de las mutuas de accidentes, entre otros.

En estos casos, será preciso analizar si el acceso a datos por cuenta de sus clientes tiene la consideración de cesión o comunicación de datos personales, o de corresponsabilidad.

Teniendo en cuenta todo lo anterior, resulta imprescindible:

  • Inventariar bien quiénes son nuestros encargados del tratamiento;
  • Comprobar si los mismos cumplen con el RGPD y
  • Verificar si han implementado las medidas técnicas y organizativas que aplican a los datos que tratan en nuestro nombre y por nuestra cuenta.

Un incumplimiento por parte de uno de nuestros proveedores, podría comprometer nuestra empresa gravemente y acabar siendo objeto de una sanción por parte de la AEPD.

En ELECE LEGAL podemos ayudaros a identificar a vuestros encargados del tratamiento, a adaptar vuestros contratos de encargado de tratamiento ya formalizados y a preparar los nuevos que debáis suscribir.

¿A qué estáis esperando? Solicita ya tu propuesta personalizada.