El Contrato de Encargado de Tratamiento
La relación entre el responsable y el encargado de tratamiento debe fijarse a través de un contrato encargado de tratamiento, cuyo contenido viene regulado y determinado en el artículo 28 del RGPD. Debe constar por escrito o en formato electrónico.
Desde Grupo Adaptalia como expertos en consultoría de protección de datos ponemos a su disposición el presente artículo con la finalidad de proporcionar información útil a respecto. Si le surge cualquier duda en relación a la redacción de este tipo de contrato, contacte sin compromiso.
El mencionado contrato debe identificar los puntos clave que todo responsable del tratamiento debe tener presentes en el momento de establecer relaciones o contratar servicios con el que será encargado del tratamiento.
Debe tratarse en definitiva de un acto jurídico que establezca y defina la posición del encargado de tratamiento siempre y cuando éste vincule jurídicamente al mismo. Debe reunir por supuesto los requisitos establecidos en el RGPD y que se expondrán a continuación.
En lo relativo a si se debe de informar a los interesados respecto de la contratación del encargado de tratamiento, el RGPD no establece obligación alguna de hacerlo.
A pesar de esto, atendiendo por ejemplo, a la naturaleza del tratamiento o de los datos tratados, puede ser aconsejable dar esta información para una mayor transparencia en el tratamiento de los datos personales.
Contenido mínimo de un contrato encargado de tratamiento
Debe establecerse como mínimo que el contrato encargado de tratamiento contenga lo siguiente: el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, así como las obligaciones y derechos del responsable.
En particular de acuerdo a las disposiciones del RGPD es importante que estipule lo siguiente:
1. Instrucciones del responsable del tratamiento
Debe documentarse de forma clara y precisa las instrucciones relativas al encargo realizado, identificando cuáles son los tratamientos de datos a realizar por el encargado de tratamiento atendiendo al tipo de servicio prestado así como el modo de realizarlo.
Es especialmente importante determinar de forma clara las comunicaciones a terceros que el responsable encomienda al encargado o que se derivan del servicio prestado.
A este respecto, si el encargado de tratamiento está obligado legalmente, por el Derecho de la Unión o de un Estado miembro, a transferir datos a un tercer país deberá informar al responsable antes de llevar a cabo el tratamiento, salvo que tal derecho lo prohíba por razones importantes de interés público.
En caso de que el encargado del tratamiento considere que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos, éste deberá informar inmediatamente al responsable.
2. Deber de confidencialidad
Es necesario establecer de qué manera el encargado del tratamiento garantizará que las personas autorizadas para tratar datos personales se han comprometido, de forma expresa, a respetar la confidencialidad.
El cumplimiento de esta obligación debe quedar documentado y siempre a disposición del responsable del tratamiento.
3. Las medidas de seguridad
El contrato encargado de tratamiento debe establecer la obligación del encargado de adoptar todas las medidas de seguridad necesarias, de acuerdo a lo establecido en el artículo 32 RGPD.
El responsable del tratamiento es quien debe realizar la evaluación de riesgos en orden a determinar las medidas de seguridad apropiadas que garanticen la seguridad de la información tratada así como los derechos de las personas afectadas.
Por otra parte, el encargado también debe evaluar los posibles riesgos derivados del tratamiento, teniendo en cuenta los medios utilizados así como cualquier otra circunstancia que pueda incidir en la seguridad. Una vez tenido esto en cuenta, las concretas medidas de seguridad pueden realizarse mediante un listado exhaustivo de las mismas o a través de un estándar reconocido.
Es especialmente importante en este sentido tener en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento para garantizar un nivel de seguridad adecuado al riesgo existente.
Las medidas de seguridad técnicas y organizativas mencionadas pueden incluir con carácter enunciativo mas no limitativo:
- La seudonimización y el cifrado de datos personales
- La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
- Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
- La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento
4. Mención al régimen de subcontratación
El contrato encargado de tratamiento debe hacer mención al régimen de subcontratación. El RGPD exige la autorización previa y por escrito del responsable del tratamiento para que el encargado del tratamiento pueda recurrir a otro encargado para desarrollar el servicio encomendado. Este tercero ostentaría la condición de subencargado.
El subencargado debe estar sujeto a las mismas instrucciones y obligaciones que el encargado del tratamiento. En caso de incumplimiento por parte de éste, el encargado inicial seguirá siendo plenamente garante ante el responsable del tratamiento en lo referente al cumplimiento de las obligaciones del subencargado.
5. Asistir al responsable en la obligación de responder al ejercicio de derechos de los interesados
Debe estipularse en qué forma el encargado asistirá al responsable en la respuesta al ejercicio de derechos que puedan llevar a cabo los interesados.
Tales derechos son los enunciados en el capítulo III del RGPD: acceso a datos personales, rectificación, supresión (derecho al olvido), limitación del tratamiento, portabilidad de datos, oposición y a no ser objeto de decisiones individualizadas automatizadas.
El contrato encargado de tratamiento debe indicar si corresponde al encargado atender y dar respuesta a las solicitudes de estos derechos. Asimismo debe establecer la forma y plazos para atender y en su caso dar respuesta a las solicitudes
6. Colaboración en el cumplimiento de las obligaciones del responsable
Es necesario indicar cómo ayudará el encargado al responsable a asegurar el cumplimiento de las obligaciones relativas a la aplicación de las medidas de seguridad que correspondan o la notificación de violaciones de datos a las Autoridades de Protección de Datos.
7. Destino de los datos al finalizar la prestación
Es preciso prever si una vez finalizada la prestación, el encargado debe proceder a la supresión o a la devolución de los datos personales, así como de cualquier copia existente, al responsable del tratamiento.
No obstante, el encargado puede conservar una copia con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.
8. Colaboración con el responsable para demostrar el cumplimiento
El contrato encargado de tratamiento también debe hacer mención a la obligación del encargado de poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones, así como contribuir a la realización de auditorías realizadas bien por el responsable bien por otro auditor autorizado por el responsable.
9. Conclusión
El RGPD exige una claridad y una concreción más exhaustiva en los deberes y obligaciones tanto de responsable como del encargado del tratamiento. Asimismo aboga por una mayor incidencia en las medidas de seguridad que deben ser implementadas, de cara a asegurar una mayor protección de los datos y por ende de los derechos de los interesados.
