21 Abr Cualquier contrato de encargado del tratamiento deberá estar adaptado al RGPD en mayo de 2022
Si sigues nuestras redes y lees nuestro blog, sabrás que todas las empresas y autónomos han de cumplir con la legislación vigente en materia de protección de datos, que en España son el Reglamento Europeo de Protección de Datos (RGPD) y la LOPDGDD.
Estas normas estén vigentes desde 2018, aunque dentro de ellas hay ciertas obligaciones para las que se daba un plazo más amplio para su obligatorio cumplimiento.
Así, en la Disposición transitoria quinta de la Ley Orgánica de Protección de Datos y de Garantía de los Derechos Digitales (LOPDGDD), se hace una aclaración relacionada con los contratos de encargado del tratamiento: «Todos estos contratos deberán estar adaptados al RGPD a más tardar el de 25 de mayo de 2022».
La misma Disposición dicta que cualquiera de las partes del contrato de encargado de tratamiento podrá exigir a la otra parte su modificación para que resulte conforme con lo dispuesto en el artículo 28 del RGPD.
Es decir, que desde el próximo 25 de mayo de 2022 será obligatorio tener actualizados al RGPD los contratos de encargado del tratamiento de todas las empresas y autónomos. Y el hecho de no tenerlos adaptados implica un incumplimiento de la norma, por el cual podemos ser sancionados.
¿Qué es un contrato de encargado del tratamiento?
El contrato de encargado del tratamiento es un documento que regula las relaciones sobre el tratamiento de datos personales entre el responsable y el encargado del tratamiento.
El responsable del tratamiento de datos personales es la persona física o jurídica que determina los fines y medios de ese tratamiento de datos. Así, en una empresa, el responsable del tratamiento de los datos de sus clientes es la propia empresa. Si a la cabeza del negocio está un autónomo, el responsable del tratamiento de datos personales será el autónomo.
El encargado del tratamiento de datos personales es la empresa o autónomo a quien el responsable encarga un tratamiento de datos por cuenta suya. No todos nuestros proveedores serán encargados del tratamiento de datos. Sólo lo serán si, para cumplir el servicio que le hemos contratado, además, les encargamos que traten datos personales de terceros siguiendo nuestras indicaciones. Ejemplos de esto son: el gestor/gestoría fiscal-contable, la empresa de marketing digital que te gestiona las campañas de email marketing, el técnico de IT (autónomo) que te realiza el mantenimiento de la página web, etc.
En estos casos, el responsable del tratamiento (tu empresa) contrata los servicios de estos profesionales/empresas y, para poder llevarlos a cabo, les encomienda la gestión/tratamiento de datos personales (de clientes, proveedores, suscriptores, usuarios de la web…)
Al contratar servicios profesionales de terceros, se debe firmar un contrato de servicios entre las dos partes para regular la prestación de los mismos. Además, el tratamiento de datos personales que va a realizar el encargado del tratamiento, por indicación del responsable, para poder realizar estos servicios, ha de quedar regulado con otro tipo de contrato (el contrato de encargado del tratamiento) en el cual se establezcan los requisitos y obligaciones correspondientes que fija el RGPD.
El contrato de encargado del tratamiento, una obligación
Has de firmar un contrato de encargado del tratamiento con cada uno de los encargados del tratamiento de datos de tu empresa.
Archivar estos contratos es uno de los requisitos para cumplir con la vigente normativa de protección de datos.
Si tienes dudas de todas las obligaciones que implica cumplir con esta normativa, puedes repasarlas todas en este artículo de nuestro blog.
¿Cómo adaptar estos contratos a la normativa actual?
La LOPDGDD nos ha dado un plazo máximo muy amplio para adaptar estos contratos, así que no tenemos excusa para no hacerlo. Debemos tener en cuenta cómo adaptarlos. Para ello, debemos atender a lo dispuesto en el RGPD, que establece que dichos contratos deben recoger el objeto, duración, naturaleza y finalidad del tratamiento, tipo de datos personales y categoría de interesados, así como las obligaciones y derechos del responsable.
Los contratos de encargado del tratamiento deben incluir como mínimo, entre otros aspectos, los siguientes:
– Las instrucciones del responsable del tratamiento en relación al encargo.
– La garantía del deber de confidencialidad.
– Las medidas de seguridad para la protección de los datos.
– Los derechos de las personas interesadas (acceso, rectificación, supresión, limitación, portabilidad, oposición y a no ser objeto de decisiones individualizadas automatizadas) y a quién corresponde atender a estas solicitudes, si al encargado o al responsable.
Esta lista no pretende ser exhaustiva, puesto que hay más elementos que debemos incluir en los contratos de encargados del tratamiento. Es esencial redactarlos correctamente y sin olvidar nada ya que a partir del próximo 25 de mayo de 2022 se considerará incumplimiento el hecho de que no estén totalmente actualizados.
No esperes al último momento y adapta ya tus contratos con encargados del tratamiento a la legislación vigente. No dudes en contactar con nosotros si quieres más información.