Es sabido que a partir del próximo 25 de mayo, con la aplicación del nuevo Reglamento General de Protección de Datos se avecinan grandes cambios.
Uno de esos «grandes» cambios son las cláusulas que deberán contener los contratos entre el responsable del fichero y el encargado del tratamiento. Recordemos que el encargado del tratamiento es el prestador de servicio que, en función del servicio que presta, puede tener acceso a datos personales del responsable. Por ejemplo una gestoría laboral, la empresa de hosting, o la empresa que gestiona nuestro CRM.
Hasta la fecha el artículo 12 de la LOPD establecía qué información debía contener el contrato entre el responsable del fichero y el encargado del tratamiento. Información que en la mayoría de casos podía incluirse en una única cláusula dentro del contrato de prestación de servicios. Pero ahora, con el nuevo Reglamento General de Protección de Datos se exige una información mínima que difícilmente podrá incluirse en una única cláusula.
Así, el artículo 28.3 del Reglamento General de Protección de Datos establece:
El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:
a) tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado; en tal caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público;
b) garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria;
c) tomará todas las medidas necesarias de conformidad con el artículo 32;
d) respetará las condiciones indicadas en los apartados 2 y 4 para recurrir a otro encargado del tratamiento;
e) asistirá al responsable, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el capítulo III;
f) ayudará al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado;
g) a elección del responsable, suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros;
h) pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.
En relación con lo dispuesto en la letra h) del párrafo primero, el encargado informará inmediatamente al responsable si, en su opinión, una instrucción infringe el presente Reglamento u otras disposiciones en materia de protección de datos de la Unión o de los Estados miembros.
Para facilitar la información mínima que debe contener el contrato según el anterior artículo, la Agencia Española de Protección de Datos ha presentado una guía con las directrices a tener en cuenta para la elaboración de contratos entre los responsables y los encargados del tratamiento.
Así, dicha guía establece cuál es el contenido mínimo que debe incluirse en un contrato o acuerdo jurídico con los encargados del tratamiento y que son:
- Se debe especificar de forma clara cuáles son las instrucciones del responsable del tratamiento, es decir, para qué se contrata al encargado del tratamiento. En definitiva, cuáles serán sus funciones y a qué tipos de datos personales, en función del servicio que preste, tendrá acceso.
- El encargado del tratamiento deberá garantizar que el personal (sus trabajadores) que tenga acceso a los datos personales del responsable del fichero tratará los datos de forma confidencial. De manera que se garantice que los empleados conocen la normativa de protección de datos y están al corriente de lo que pueden y no pueden hacer con respecto los datos personales del responsable del fichero.
- Se deberán especificar qué medidas de seguridad cumplirá el encargado del tratamiento para proteger los datos personales.
- En caso de que el encargado del tratamiento vaya a subcontratar el servicio o parte de éste, el responsable del fichero tendrá que autorizarlo expresamente.
- Deberá establecerse también cómo se va a gestionar la respuesta al ejercicio de derechos por parte de los titulares de los datos personales. Es decir si un afectado ejerce su derecho de acceso, rectificación, supresión, limitación, portabilidad u oposición a sus datos personales ¿cómo y quién le va a dar respuesta?
- Se deberá incorporar una cláusula que especifique cómo se va a colaborar entre el responsable del fichero y el encargado del tratamiento para que el responsable pueda cumplir con sus obligaciones. Por ejemplo, cómo se facilitará al responsable del fichero que pueda realizar una evaluación de impacto relativa a la protección de datos o pueda llevar a cabo la notificación de violaciones de datos a las Autoridades de Protección de Datos.
- Deberá incluirse qué ocurrirá con los datos personales una vez finalice el contrato entre el responsable del fichero y el encargado del tratamiento. Si se devolverán o destruirán, el plazo…
- Por último, el encargado del tratamiento deberá poner a disposición del responsable del fichero, siempre que este lo solicite, cuanta información y documentación sea precisa para garantizar el cumplimiento de las obligaciones que tiene encomendadas en su calidad de encargado del tratamiento.
Como se desprende de todo lo expuesto, es evidente que a partir de mayo de 2018 la mayoría de contratos de tratamiento de datos por cuenta de terceros (los contratos entre el responsable del fichero y el encargado del tratamiento) deberán ser revisados y actualizados de conformidad con las nuevas exigencias de la normativa.