Reducción por reserva de capitalización
PATRICIA CARRERA SÁNCHEZ
Patricia Carrera
Letrada Asociada Senior

¿Por qué es importante adaptar los contratos de Encargado de Tratamiento al RGPD?

← Volver al blog
5/5 - (1 voto)
Devesa Abogados > Blog
PATRICIA CARRERA SÁNCHEZ
Patricia Carrera
Letrada Asociada Senior

A efectos del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 26 de abril de 2016 (“RGPD”), su empresa puede tener la consideración de Responsable o de Encargado de Tratamiento. Por ello, al analizar sus relaciones contractuales debe saber en qué condición está actuando.

Aunque este artículo trata de la figura del Encargado de Tratamiento, vamos a mencionar brevemente la diferencia con el Responsable.

Su organización actuará como Responsable del Tratamiento cuando decida los fines y medios del tratamiento. Por ejemplo, será Responsable respecto a los datos que obtenga de sus clientes.

Sin embargo, si su empresa trata datos personales por cuenta de otra organización, ya no será Responsable, sino Encargado de Tratamiento. Esto sucede cuando su empresa es un proveedor que presta un servicio para el que necesita tener acceso a datos personales, como ocurre con una asesoría que realiza las nóminas de los empleados de sus clientes. En este caso, el Responsable sería el empleador y el Encargado de Tratamiento la gestoría que utiliza los datos personales para realizar las nóminas.

Cuando su empresa actúe como Responsable del Tratamiento debe tener en cuenta que tiene una responsabilidad directa a la hora de elegir un proveedor que cumpla con la normativa de protección de datos.

El RGPD y la figura del Encargado de Tratamiento

El artículo 28 del RGPD regula la figura del Encargado de Tratamiento y requiere que se elija a un Encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del RGPD y garantice la protección de los derechos del interesado.

Por ello, al contratar un proveedor, no solo es importante verificar que sea adecuado para el servicio, sino también comprobar que cumple la normativa de protección de datos.

Hay diversos medios para verificar la diligencia de un Encargado, siendo los más comunes:

La adhesión a un código de conducta o la obtención de una certificación relacionada con el cumplimiento del RGPD.

La realización de una auditoría en materia de protección de datos al proveedor.

¿Es necesario un contrato escrito según el RGPD?

Las relaciones entre un Responsable y un Encargado de Tratamiento deben regularse mediante un contrato escrito, incluso en formato electrónico, conforme al apartado 9 del artículo 28 RGPD.

Bajo la anterior Ley Orgánica de Protección de Datos, ya derogada, se preveía la necesidad de este contrato, aunque con un contenido diferente al actual. La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantía de derechos digitales (“LOPD-GDD”), en su Disposición Transitoria Quinta, permitió la conservación de los contratos antiguos durante un periodo transitorio:

“Los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 […] mantendrán su vigencia hasta […] el 25 de mayo de 2022.”

Dado que dicho periodo terminó el 25 de mayo de 2022, es fundamental que las empresas revisen sus contratos con proveedores y verifiquen su adaptación al RGPD.

Contenido obligatorio del contrato de Encargado de Tratamiento según el RGPD

El contrato debe establecer:

  • Objeto, duración, naturaleza y finalidad del tratamiento.
  • Tipo de datos personales y categorías de interesados.
  • Obligaciones y derechos del Responsable.

En particular, debe incluir:

  • Colaboración para demostrar el cumplimiento, mediante la facilitación de información y la aceptación de auditorías o inspecciones.
  • Instrucciones del Responsable de Tratamiento, que detallen claramente los tratamientos a realizar.
  • Obligación de confidencialidad, garantizando que las personas autorizadas respeten la confidencialidad.
  • Medidas de seguridad, que deben tener en cuenta el estado de la técnica, los costes, el contexto y los fines del tratamiento.
  • Régimen de subcontratación, pues el RGPD exige que el Responsable autorice por escrito cualquier subencargo. En caso de incumplimiento, el Encargado inicial seguirá siendo responsable ante el Responsable del tratamiento.
  • Derechos de los interesados, estableciendo cómo el Encargado asistirá a los sujetos en el ejercicio de sus derechos.
  • Colaboración en el cumplimiento de las obligaciones del Responsable, incluyendo la notificación de brechas de seguridad dentro del plazo acordado.
  • Destino de los datos al finalizar el contrato, indicando si serán suprimidos o devueltos.

Consecuencias del incumplimiento del RGPD

La contratación de un Encargado que no ofrezca garantías suficientes o la ausencia de contrato escrito conforme al RGPD constituyen infracciones graves según el artículo 73 LOPD-GDD.

Estas infracciones pueden acarrear, conforme al artículo 83 RGPD, multas de hasta 10.000.000 EUR o, en el caso de empresas, hasta el 2 % del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

Además, el artículo 82 RGPD reconoce el derecho de los perjudicados a reclamar indemnización por daños materiales o inmateriales.
El Responsable o el Encargado solo quedará exento si demuestra que no es responsable del hecho que causó los daños y que ha cumplido diligentemente sus obligaciones conforme al RGPD.

¿Necesita asesoramiento? Acceda a nuestra área relacionada con los contratos de Encargado de Tratamiento al RGPD:

Protección de Datos

Derecho Societario

5/5 - (1 voto)
Contacta / Contact us