- %

En este artículo vamos a tratar...

Entonces, ¿Son válidos los contratos de encargado de tratamiento anteriores al RGPD?

El próximo 25 de mayo de 2022 se cumplen cuatro años desde la aplicación del Reglamento General de Protección de Datos (RGPD). Esa fecha se trata del plazo límite para la actualización de los contratos de encargado de tratamiento. ACTUALIZAR CONTRATOS ENCARGADO TRATAMIENTO

¿Qué debo hacer?

Con el fin de cumplir con este deadline en Auratech revisamos el estado de estos contratos en el inventario virtual de su plataforma de cliente y en las situaciones que lo requieran crearemos un nuevo contrato que le haremos llegar al proveedor en cuestión. Los clientes de Auratech solo deben revisar que el listado de proveedores esté actualizado en nuestra plataforma de clientes.

¿Por qué es tan importante la firma de estos contratos?

Una de las figuras clave dentro de la normativa de protección de datos es la del encargado de tratamiento. El contrato de encargado de tratamiento de datos es un documento que regula la utilización de datos entre el responsable de tratamiento y el encargado de tratamiento.

Es importante definir con precisión los aspectos que rigen estos contratos. En especial, las medidas de seguridad a aplicar en el tratamiento de información en lo relacionado a datos de carácter personal. Es un grave error pensar que se trata de un mero accesorio de la prestación principal ya que ese error podría derivar en consecuencias económicas y reputacionales.

Debemos tener presente que cualquier empresa que tenga proveedores que necesiten acceder a datos para prestarles sus servicios serán considerados encargados de tratamiento, salvo en concretas excepciones. Dentro de los ejemplos claros de encargados de tratamiento podemos encontrar empresas a las que les entregamos datos para que nos presten un servicio, gestorías laborales a las que entregamos los datos de nuestros empleados para realizar las nóminas, o informáticos, asesores externos, autónomos, etc. Todas estas personas jurídicas externas a nuestra organización que deben formalizar un contrato o acto jurídico que vincule el tratamiento de datos de las partes.

Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal

La anterior Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal establecía la obligación de formalizar el tratamiento de datos por medio de contratos. Dicha ley, ya preveía la obligación de recogida de las condiciones, los deberes de confidencialidad y las medidas de seguridad, así como la utilización de los datos para la prestación del servicio, entre otros.

No obstante, el artículo 28.3 del Reglamento Europeo de Protección de Datos añadió contenido obligatorio que deberá figurar en este tipo de contratos. Podemos destacar, entre otras:

1. La asistencia en el cumplimiento de las obligaciones impuestas por el RGPD; dar respuesta a las solicitudes de ejercicio de los derechos planteadas por los interesados, garantizar la implementación de medidas de seguridad para velar por la integridad, disponibilidad y confidencialidad de la información, realizar evaluaciones de riesgos, realizar notificaciones de brechas de seguridad a la AEPD y afectados y proyectar consultas previas ante la autoridad de control.

2. Asegurar que las personas legitimadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria.

3. Facilitar a los clientes toda la información necesaria para demostrar el cumplimiento de las medidas indicadas en el contrato de encargo del tratamiento. Del mismo modo, permitir y contribuir a la realización de auditorías e inspecciones, por parte del responsable o de auditor autorizado por el responsable.

Plazo

En esa misma línea, la normativa marca un plazo para adaptar todos los contratos y actualizarlos a los cambios normativos. En consecuencia, los contratos suscritos antes del 25 de mayo de 2018 se deberán actualizar antes del 25 de mayo de 2022. Dicha afirmación se ampara en el artículo 12 de la LOPD.

Por lo tanto, los contratos con encargados de tratamiento firmados antes de la aplicación del RGPD deben volver a firmarse. Así, se conseguirá respetar la normativa vigente, sin que sean válidas las remisiones genéricas al artículo del RGPD que los regula.

Así pues, debemos contar con un inventario o registro de todos los encargados que traten datos personales. De esta forma, identificar aquellas relaciones de encargo que deban ser actualizadas y, en segundo lugar, indicar a las unidades de negocio correspondientes los pasos a seguir para dicha actualización.

Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales

Es preciso señalar que la Disposición transitoria quinta de la Ley Orgánica 3/2018 establece que:

Los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022. ACTUALIZAR CONTRATOS ENCARGADO TRATAMIENTO

Durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el artículo 28 del Reglamento (UE) 2016/679 y en el Capítulo II del Título V de esta ley orgánica.

El plazo para renovar los contratos con los Encargados de Tratamiento llega a su fin, por lo que es fundamental comprobar si aún tenemos contratos previos sin actualizar. ACTUALIZAR CONTRATOS ENCARGADO TRATAMIENTO

Con el fin de gestionar de forma más eficiente el inventario de encargados del tratamiento y controlar los riesgos que puedan derivarse de la relación con los mismos, en AuraTech Legal Solutions nos encargaremos de supervisar el estado actual de todos los contratos de encargado de nuestros clientes para garantizar el cumplimiento de las obligaciones derivadas del contrato y las disposiciones en materia de protección de datos.

Quedamos a vuestra disposición para cualquier duda al respecto.

Cookie	Duración	Descripción
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
_wpfuuid	1 year 1 month 4 days	This cookie is used by the WPForms WordPress plugin. The cookie is used to allows the paid version of the plugin to connect entries by the same user and is used for some additional features like the Form Abandonment addon.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Advertisement" category.
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The GDPR Cookie Consent plugin sets the cookie to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.

Cookie	Duración	Descripción
spam-destroyer-f322ea27ee491c037b0f5149d5ee3a85	1 hour	No description
VISITOR_PRIVACY_METADATA	5 months 27 days	Description is currently not available.

Cookie	Duración	Descripción
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
guest_id	1 year 1 month	Twitter sets this cookie to identify and track the website visitor. It registers if a user is signed in to the Twitter platform and collects information about ad preferences.
VISITOR_INFO1_LIVE	5 months 27 days	YouTube sets this cookie to measure bandwidth, determining whether the user gets the new or old player interface.
YSC	session	Youtube sets this cookie to track the views of embedded videos on Youtube pages.

Cookie	Duración	Descripción
pll_language	1 year	Polylang sets this cookie to remember the language the user selects when returning to the website and get the language information when unavailable in another way.
sb	2 years	This cookie is used by Facebook to control its functionalities, collect language settings and share pages.

25 de mayo de 2022: Fecha límite para actualizar los contratos de encargado de tratamiento

Entonces, ¿Son válidos los contratos de encargado de tratamiento anteriores al RGPD?

¿Qué debo hacer?

¿Por qué es tan importante la firma de estos contratos?

Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal

Plazo

Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales

Dejar un comentario

Deja una respuesta Cancelar la respuesta

Entonces, ¿Son válidos los contratos de encargado de tratamiento anteriores al RGPD?

¿Qué debo hacer?

¿Por qué es tan importante la firma de estos contratos?

Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal

Plazo

Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales

Quizás te interese

Dejar un comentario

Deja una respuesta Cancelar la respuesta