Fecha límite para la firma de los contratos de encargados de tratamiento

 

A la entrada en vigor la nueva normativa de protección de datos, concretamente el Reglamento General  de Protección de Datos, y la Ley Orgánica de protección de Datos y garantía de derechos digitales, uno de los aspectos de gran importancia que se debía tener en cuenta era la firma de los contratos de Encargado de Tratamiento. La norma indicaba que los contratos suscritos antes del 25 de mayo de 2018 siguiendo con lo indicado en el artículo 12 de la LOPD, serían vigentes hasta la fecha señalada en los mismos o, en caso de ser indefinidos, hasta el 25 de mayo de 2022.

Esta fecha está cada vez más cerca y para a cumplir con la normativa, en las siguientes líneas veremos cuándo se quién es encargado de tratamiento y por lo tanto debe firmar el contrato, que aspectos debe regular este contrato y qué pasa con el Encargado del tratamiento cuando está ubicado fuera de la UE.

¿Quién es la figura del Encargado de Tratamiento?

Para su elección se comprobará que ofrece suficientes garantías de cumplimiento de la normativa actual.

Para ayudar a diferenciar la figura del Responsable y del Encargado, se debe tener en cuenta que el primero es quién decide sobre la finalidad del tratamiento de la información y el segundo sigue sus instrucciones para realizar el tratamiento.

Como ejemplos de Encargados de Tratamiento tenemos las empresas que prestan el servicio de videovigilancia, las gestorías fiscales, laborales y contables, las empresas de mantenimiento informático de software, etc.

Debemos mencionar, determinados casos en que, a priori parecen encargados del tratamiento, pero la propia AEPD se ha pronunciado al respecto indicando que no son ET: son los casos de los auditores contables y las empresas de transporte y mensajería no son Encargados de Tratamiento, son responsables. En el caso de los auditores contables se fundamenta en que estos actúan como una figura autónoma y no reciben instrucciones de quién los contrata. En el caso de las empresas de mensajería se fundamenta en que los datos que se facilitan a la empresa se incorporan a su base de datos para realizar la entrega al destinatario.

 ¿Qué contenido debe tener el contrato de Encargado de Tratamiento?

La relación entre Responsable y Encargado se establecerá por un contrato donde debe establecer el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales tratados y las categorías de interesados y las obligaciones y derechos del responsable.

El Encargado no podrá subcontratar el servicio a un tercero sin la autorización previa del responsable, que éste deberá ser avisado por si se quiere oponer. En caso de proceder con la subcontratación, esta empresa deberá tener un contrato o acto jurídico vinculante con las mismas obligaciones que las estipuladas entre el Responsable y el Encargado. En caso de incumplimiento por parte del subcontratado, el Encargado será quién responderá.

¿Qué pasa con los Encargado de Tratamiento fuera de la UE?

En el caso de encontrarnos con una comunicación de datos personales fuera de la UE se debe seguir garantizando el nivel de protección que establece el Reglamento. Para hacerlo nos podemos encontrar con las siguientes situaciones:

  • Transferencia basada en una decisión de adecuación de la comisión.
  • Normas corporativas vinculantes.
  • Aportación de las garantías adecuadas.
  • Excepciones para situaciones específicas.
  • Autorización expresa de la AEPD.

En este punto debemos mencionar el caso de EEUU, con quién hasta julio de 2020 se realizaban las transferencias internacionales de datos en base al “Privacy Shield” hasta que este fue invalidado. Desde ese momento no había habido otros acuerdos, hasta ahora, que han llegado a un acuerdo para hacer una regulación que permita cumplir con los estándares de privacidad recogidos en la normativa europea de protección de datos.

Por todo ello,

El plazo para firmar los contratos con los Encargados de Tratamiento llega a su fin, por lo que debéis comprobar si tenéis o no los contratos firmados, con base en el RGPD. Deberéis corroborar con todos vuestros encargados la firma de este tipo de contratos.

Nina Costas

Pymelegal & NC consultors