encargado de protección de datos

Entonces, ¿Son válidos los contratos de encargado de tratamiento anteriores al RGPD?

El próximo 25 de mayo de 2022 se cumplen cuatro años desde la aplicación del Reglamento General de Protección de Datos (RGPD). Esa fecha se trata del plazo límite para la actualización de los contratos de encargado de tratamiento.

¿Qué debo hacer?

Con el fin de cumplir con este deadline en Auratech revisamos el estado de estos contratos en el inventario virtual de su plataforma de cliente y  en las situaciones que lo requieran crearemos un nuevo contrato que le haremos llegar al proveedor en cuestión. Los clientes de Auratech solo deben revisar que el listado de proveedores esté actualizado en nuestra plataforma de clientes.

¿Por qué es tan importante la firma de estos contratos?

Una de las figuras clave dentro de la normativa de protección de datos es la del encargado de tratamiento. El contrato de encargado de tratamiento de datos es un documento que regula la utilización  de datos entre el responsable de tratamiento y el encargado de tratamiento.

Es importante definir con precisión los aspectos que rigen estos contratos. En especial, las medidas de seguridad a aplicar en el tratamiento de información en lo relacionado a datos de carácter personal. Es un grave error pensar que se trata de un mero accesorio de la prestación principal ya que ese error podría derivar en consecuencias económicas y reputacionales.

Debemos tener presente que cualquier empresa que tenga proveedores que necesiten acceder a datos para prestarles sus servicios serán considerados encargados de tratamiento, salvo en concretas excepciones. Dentro de los ejemplos claros de encargados de tratamiento podemos encontrar empresas a las que les entregamos datos para que nos presten un servicio, gestorías laborales a las que entregamos los datos de nuestros empleados para realizar las nóminas, o informáticos, asesores externos, autónomos, etc. Todas estas personas jurídicas externas a nuestra organización que deben formalizar un contrato o acto jurídico que vincule el tratamiento de datos de las partes.

La anterior Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal establecía la obligación de formalizar el tratamiento de datos por medio de contratos. Dicha ley, ya preveía la obligación de recogida de las condiciones, los deberes de confidencialidad y las medidas de seguridad, así como la utilización de los datos para la prestación del servicio, entre otros.

No obstante, el artículo 28.3 del Reglamento Europeo de Protección de Datos añadió contenido obligatorio que deberá figurar en este tipo de contratos. Podemos destacar, entre otras:

1. La asistencia en el cumplimiento de las obligaciones impuestas por el RGPD; dar respuesta a las solicitudes de ejercicio de los derechos planteadas por los interesados, garantizar la implementación de medidas de seguridad para velar por la integridad, disponibilidad y confidencialidad de la información, realizar evaluaciones de riesgos, realizar notificaciones de brechas de seguridad a la AEPD y afectados y proyectar consultas previas ante la autoridad de control.

2. Asegurar que las personas legitimadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria.

3. Facilitar a los clientes toda la información necesaria para demostrar el cumplimiento de las medidas indicadas en el contrato de encargo del tratamiento, así como permitir y contribuir a la realización de auditorías e inspecciones, por parte del responsable o de auditor autorizado por el responsable.

En esa misma línea, la normativa marca un plazo para adaptar todos los contratos y actualizarlos a los cambios normativos. En consecuencia,  los contratos suscritos antes del 25 de mayo de 2018 se deberán actualizar antes del  25 de mayo de 2022 siguiendo con lo indicado en el artículo 12 de la LOPD.

Por lo tanto, los contratos con encargados de tratamiento firmados antes de  la aplicación del RGPD deben volver a firmarse para respetar la normativa vigente, sin que sean válidas las remisiones genéricas al artículo del RGPD que los regula.

Así pues, debemos contar con un inventario o registro de todos los encargados que traten datos personales para poder identificar aquellas relaciones de encargo que deban ser actualizadas y, en segundo lugar, indicar a las unidades de negocio correspondientes los pasos a seguir para dicha actualización.

Es preciso señalar que la Disposición transitoria quinta de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, establece que:

Los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022.

Durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el artículo 28 del Reglamento (UE) 2016/679 y en el Capítulo II del Título V de esta ley orgánica.

El plazo para renovar  los contratos con los Encargados de Tratamiento llega a su fin, por lo que es fundamental comprobar si aún tenemos contratos previos sin actualizar.

Con el fin de gestionar de forma más eficiente el inventario de encargados del tratamiento y controlar los riesgos que puedan derivarse de la relación con los mismos, en AuraTech Legal Solutions nos encargaremos de supervisar el estado actual de todos los contratos de encargado de nuestros clientes para garantizar el cumplimiento de las obligaciones derivadas del contrato y las disposiciones en materia de protección de datos.

Quedamos a vuestra disposición para cualquier duda al respecto.