El acuerdo o contrato de encargo de tratamiento de datos es una herramienta fundamental para asegurar la protección de datos según el RGPD y la Ley Orgánica de Protección de Datos.
Pero más allá del plano normativo, este contrato es útil también en el operativo. Sobre todo, en la economía colaborativa actual, que requiere la intervención de varios actores internos y externos en el trabajo diario de la organización.
Eso deriva en que muchos de ellos realicen actividades de tratamiento de datos personales a nombre de otra tercera empresa. Algo que puede significar un riesgo para las entidades si no se realiza de acuerdo con las normativas de privacidad vigentes.
Tu empresa necesita un contrato de encargo de tratamiento de datos
A continuación, te decimos exactamente qué es un contrato de encargo de tratamiento de datos y cómo implementar uno en tu empresa.
Actores del tratamiento de datos
Para entender qué es un contrato de encargo de tratamiento de datos es necesario primero conocer a dos actores claves en el tratamiento de datos: el responsable y el encargado. Ambas son figuras reconocidas por la normativa, por lo que es útil también que las conozcas.
El responsable
Es quien tiene la máxima responsabilidad en el tratamiento de datos, dado que es quien decide con qué fines y de qué modo se utilizarán los datos personales. Puede ser una persona física o jurídica.
Por ejemplo, en el caso de una fabricante de cosméticos que contrata una empresa de comunicaciones electrónicas (actividad en la que se realiza tratamiento de datos), el responsable del tratamiento será, la empresa fabricante de cosméticos.
El encargado
Es quien presta un servicio al responsable y, en consecuencia, para la prestación del servicio realiza un tratamiento de datos. En el ejemplo anterior, sería la empresa que brinda servicios comunicaciones electrónicas a la fabricante de cosméticos, recabando datos como el nombre y la dirección de correo para concretar el envío de las comunicaciones comerciales.
El encargado debe tratar los datos según los fines y los medios establecidos por el responsable. Por lo tanto, la prestación de su servicio debe sujetarse a estas instrucciones sin actuar por cuenta propia.
Qué es el contrato de encargo de tratamiento de datos
Con base en los conceptos anteriores ya podemos decir que es un acto jurídico que vincula al responsable y al encargado, debiendo constar dicho acuerdo de forma escrita en físico o por medios electrónicos.
Para ello, este documento establece las condiciones en las que se deben realizar las actividades de tratamiento de datos personales. También, las obligaciones y responsabilidades correspondientes según el RGPD y a la LOPD, así como las medidas de seguridad necesarias para el tratamiento de los datos.
Qué debe contener un contrato de encargo
Precisamente, dichas normativas establecen que el acuerdo o contrato de tratamiento de datos debe tener un contenido mínimo para adecuarse a sus disposiciones. Al respecto, la AEPD ha publicado junto a la Autoridad Catalana de Protección de Datos una guía en la que se determina cuál es ese contenido, a saber:
- El objeto del tratamiento (qué datos se recogerán).
- Su duración.
- Su naturaleza.
- Su finalidad.
- El tipo de datos personales tratados.
- Las categorías de interesados (usuarios).
- Las obligaciones y derechos del responsable.
Pero, además, debe tener otros puntos importantes, que explicaremos a continuación:
Las instrucciones para el tratamiento
El acuerdo de encargo debe contener instrucciones detalladas, claras y concretas de cómo se realizará el tratamiento de datos que requieren las actividades para las que ha sido contratado.
Es decir, el contrato deberá detallar paso a paso cómo se recogerán los datos, quiénes tendrán acceso a ellos y en qué condiciones. También en qué tipo de software y hardware se procesarán estos datos y qué requisitos de acceso tienen, entre otras cosas.
Las garantías de confidencialidad
El tratamiento de los datos personales requiere que estos no sean divulgados para evitarles riesgos a las personas que se encuentran detrás de esa información. Por esta razón, quienes accedan a los datos, deberán comprometerse a guardar la confidencialidad correspondiente. Y esto debe expresarse y documentarse en el contrato.
Las medidas de seguridad
En el acuerdo de encargo, también deberá constar una lista detallada de las medidas de seguridad que se tomarán para afrontar los riesgos del tratamiento derivados de la actividad que se preste. Es importante consignar quién y a partir de qué fecha se hará cargo de implementar estas medidas.
Para ello, el encargado o el responsable previamente deben haber realizado las evaluaciones de riesgo correspondientes.
Algunas medidas de seguridad que pueden tomarse son la pseudonimización, anonimización, el cifrado o la restauración de los datos, etc.
El régimen de subcontratación
A veces, las empresas encargadas tendrán la necesidad de subcontratar a un tercero para realizar actividades que involucran el tratamiento de datos. Cómo se actuará frente a estos casos también debe ser registrado en el contrato de encargo de tratamiento de datos.
De esta manera, quedará constancia de que el responsable conoce de la existencia de subencargados y de que estos deberán seguir en el tratamiento las mismas instrucciones que el encargado.
En el contrato se puede nombrar específicamente a los subcontratistas o se puede autorizar su contratación de manera general. En este último caso, cuando se contrate a un tercero deberá hacerse de conocimiento del responsable, para que este evalúe su pertinencia en el marco de la protección de datos.
La atención de los derechos de los interesados
Debe recordarse que los interesados tienen derechos que no pueden perderse de vista cuando se tratan sus datos. Dichos derechos son el de acceso, rectificación, supresión, oposición y limitación del tratamiento. También lo son la portabilidad de datos y a no ser objeto de decisiones automatizadas.
El contrato debe estipular quién se hará cargo de atenderlos: el responsable o el encargado. En caso de ser este último, debe expresarse cómo lo hará y en qué plazo y, en el primero, cómo y cuándo el encargado le comunicará las solicitudes.
El cumplimiento de las obligaciones del Responsable
De acuerdo con el RGPD, el responsable tiene obligaciones para responder ante posibles brechas de seguridad como la comunicación a los afectados y la notificación a las autoridades. Del mismo modo, tiene otras relativas a la evaluación de impacto del tratamiento y la consulta previa a los interesados.
Es posible que el encargado ayude al responsable a cumplir con ellas. Si es así, el contrato debe estipularlo y cuál será la ayuda que le brindará.
¿Qué hacer con los datos tras finalizar el acuerdo?
El contrato de encargo de tratamiento de datos debe establecer qué se hará con los datos una vez que se termine con esta actividad. Las opciones son la destrucción de los datos, su devolución al responsable o su transferencia a otro encargado. Además, se debe especificar en qué forma y cuál será el plazo para cumplir con la medida que se elija.
La demostración del cumplimiento
El encargado debe proveer al responsable toda la información necesaria para demostrar el cumplimiento de la normativa de privacidad. Y esto deberá constar como su obligación en el acuerdo. Es lo que se conoce en el RGPD como el principio de responsabilidad proactiva.
En conclusión
El contrato de encargo de tratamiento de datos es un documento necesario para orientar y formalizar la relación entre el Responsable y el Encargado. Y si bien con estas pautas puedes redactar uno tú mismo, lo cierto es que la mejor recomendación es hacerlo con el asesoramiento de un abogado especialista en privacidad, como los de Talos Abogados. Contáctanos para redactarlo de acuerdo con las particularidades de tu empresa.
Foto de Gabrielle Henderson en Unsplash