ESQUEMA DEL CONTRATO DE ENCARGADO DE TRATAMIENTO SEGÚN EL RGPD
Revisión a los principales cambios del contrato de encargado de tratamiento
Publicado el miércoles, 26 de septiembre de 2018 a las 10:19
La relación entre los responsables y los encargados de tratamiento, tiene que venir siempre regulada a través de un acto jurídico que vincule las dos partes y que regule de que manera se va a gestionar la información del responsable del tratamiento por parte del encargado.
Este contrato, que debe figurar por escrito o en soporte electrónico, tiene que incluir lo dispuesto en el artículo 28 del RGPD (Reglamento General de Protección de Datos, 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016). En concreto, el artículo 28.3 de dicho reglamento indica:
“(…)
3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:
a) tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado; en tal caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público;
b) garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria;
c) tomará todas las medidas necesarias de conformidad con el artículo 32;
d) respetará las condiciones indicadas en los apartados 2 y 4 para recurrir a otro encargado del tratamiento;
e) asistirá al responsable, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el capítulo III;
f) ayudará al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado;
g) a elección del responsable, suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros;
h) pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.
(…)”
Voy a intentar a continuación, identificar los apartados más importantes que ha de recoger este contrato, para que pueda servir como guía para crear este tipo de documentos. Vamos a por ello.
INSTRUCCIONES DEL RESPONSABLE DE TRATAMIENTO
Se indicarán de forma concreta que obligaciones unen a las partes en relación con el tratamiento de datos objeto del contrato. Si se va a realizar, por parte del encargado del tratamiento algún tipo de transferencia internacional de datos, deberá informar al responsable.
Ejemplo de contenido:
“Mediante las presentes cláusulas se habilita a [nombre_proveedor], como encargado del tratamiento, para tratar por cuenta de [nombre_[nombre_cliente]], en calidad de responsable del tratamiento, los datos de carácter personal necesarios para prestar el servicio que en adelante se especifican.
El tratamiento consistirá en [servicio_prestado].”
DEBER DE CONFIDENCIALIDAD
Expresamente se ha de incluir la información necesaria para garantizar el que encargado de tratamiento se compromete al cumplimiento de la confidencialidad debida al responsable de tratamiento.
Ejemplo de contenido:
“[nombre_proveedor] se compromete a cumplir con las instrucciones determinadas por el [nombre_[nombre_cliente]] que afectan al desarrollo de sus funciones para garantizar la confidencialidad y el secreto profesional de toda la “información confidencial”, por lo que se obliga explícitamente a no divulgarla, publicarla, cederla, venderla, ni de otra forma, directa o indirecta, ponerla a disposición de terceros, ni total ni parcialmente, y a cumplir esta obligación incluso con sus propios familiares u otros miembros de la organización que no estén autorizados a acceder a dicha información, cualquiera que sea el soporte en el que la contenga.
[nombre_proveedor] accederá a la información sólo si es necesario para la prestación de los servicios para los que ha sido contratado y exclusivamente para los fines autorizados por el [nombre_[nombre_cliente]].
La información proporcionada por el [nombre_[nombre_cliente]] será utilizada única y exclusivamente para el desarrollo eficiente del servicio contratado, pudiéndose realizar tareas de verificación, vigilancia y control sobre la misma. ”
MEDIDAS DE SEGURIDAD
Este apartado debe recoger lo previsto en el artículo 32 del RGPD en cuanto a las medidas de seguridad que se deberán implantar para el adecuado tratamiento de los datos. Se puede hacer mención a un listado de medidas de seguridad concretas o bien a un marco general estándar.
Ejemplo de contenido:
“[nombre_proveedor] se compromete a adoptar, actualizar y mantener las medidas organizativas y técnicas que estime necesarias para garantizar la seguridad y confidencialidad de la “información confidencial” detallada en el apartado 1 de este contrato, impidiendo su acceso, perdida o alteración indebida o cualquier tipo de tratamiento no autorizado. Esta obligación se desarrollará de conformidad con el estado de la tecnología y los riesgos a los que estén expuestos.
Dichas medidas se ajustan al nivel de seguridad aplicable al tipo de información que sea objeto de tratamiento como consecuencia de la prestación del servicio objeto de este contrato de encargado de tratamiento, según lo previsto en el artículo 28 del RGPD 2016/679 de 27 de abril de 2016 y cualquier normativa que, en su caso, sustituya, derogue o modifique el mencionado Reglamento.
En concreto las medidas adoptadas son [hacer mención a un marco de referencia o explicitarlas].”
SUBCONTRATACIÓN (SI ES NECESARIO)
Si el encargado de tratamiento debe subcontratar todo o parte del tratamiento, deberá informarlo al responsable del tratamiento y quedar reflejado por escrito. Se deberán determinar los mismos aspectos que rigen el contrato de encargado de tratamiento principal: derechos, deberes, garantías, etc.
Ejemplo de contenido:
“[nombre_proveedor] se compromete a no subcontratar ninguno de los servicios que formen parte del objeto de este contrato que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado.”
Ejemplo de contenido:
“Se autoriza a [nombre_proveedor] a subcontratar con la empresa [nombre_subcontrata] las prestaciones que comporten los tratamientos de datos objeto de este contrato. En concreto los siguientes: …………………………………………………………………. ”
GESTIÓN DE DERECHOS
El encargado de tratamiento colaborará con el responsable en el ejercicio de los derechos previstos por el RGPD, por parte de los afectados, en la parte del tratamiento que tenga asignado.
Ejemplo de contenido:
“[nombre_proveedor] se compromete a asistir a [nombre_cliente] en el ejercicio de los derechos de los usuario que estén directamente relacionados con el tratamiento de datos objeto de este contrato”
COLABORACIÓN EN EL CUMPLIMIENTO DE OBLIGACIONES
El encargado de tratamiento colaborará con el responsable en la aplicación y cumplimiento de las medidas de seguridad necesarias para el adecuado tratamiento de datos. En concreto se debe determinar si se ha de incluir una EIPD, como se llevará a cabo la gestión de incidencias y brechas de seguridad, etc.
Ejemplo de contenido:
“[nombre_proveedor] declara conocer las políticas de información y de seguridad establecidas por el [nombre_cliente] para garantizar la protección de datos y se compromete a seguir las instrucciones en ellas reflejadas y, en caso apercibir que sean violadas, a notificarlo sin demora injustificada al [nombre_cliente] para su conocimiento y aplicación de medidas correctivas para remediar y mitigar los efectos ocasionados.
El acceso a la información del [nombre_cliente] se realizará únicamente en el caso que sea necesario para mantener el servicio contratado, y aún en ese caso, se llevará a cabo manteniendo las debidas medidas de seguridad.”
DESTINO DE LOS DATOS AL FINALIZAR LA RELACIÓN
El contrato deberá considerar que ocurre con la información una vez se ha finalizado el tratamiento objeto del contrato. Se indicará si se devuelve, se destruye o se cede a otro encargado de tratamiento.
Ejemplo de contenido:
“El cumplimiento de las obligaciones contenidas en este acuerdo es de carácter indefinido y se mantendrá en vigor con posterioridad a la finalización de la relación entre [nombre_proveedor] y el [nombre_cliente]. Por ello, [nombre_proveedor] garantiza que, tras terminar la relación, guardará el mismo secreto profesional respecto de la información a que haya tenido acceso durante el desempeño de sus funciones.
Una vez finalizada la relación, el encargado del tratamiento devolverá al responsable los datos personales, y suprimir cualquier copia que mantenga en su poder. No obstante, podrá mantener bloqueados los datos para atender posibles responsabilidades administrativas o de otro tipo.”
DEMOSTRACIÓN DEL CUMPLIMIENTO
El encargado de tratamiento deberá colaborar en todo momento con el responsable del tratamiento para demostrar el cumplimiento de la normativa por parte de este último. Deberá responder a las peticiones de información que pudieran surgir de auditorias o análisis que se lleven a cabo.
Ejemplo de contenido:
“Corresponde al responsable del tratamiento:
a) Entregar al encargado los datos a los que se refiere este contrato.
b) Realizar un análisis de riesgos de las operaciones de tratamiento a realizar por el encargado.
c) Realizar las consultas previas que corresponda.
d) Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del encargado.
e) Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.”
Como hemos visto, el contrato de encargado de tratamiento no recoge unicamente que tipo de servicio se va a llevar a cabo con respecto a los datos personales, sino que además exige a las partes una mayor definición de responsabilidades y deberes que el que regulaba anteriormente el artículo 12 de la LOPD.
Los contenidos que se muestran como ejemplo, son precisamente eso, un ejemplo. De cada tratamiento y de cada empresa, dependerá el adecuar esos contenidos a la realidad de su gestión.