Comisiones millonarias y sobornos, ¿en qué casos sí estaríamos frente a un delito?
16 mayo, 2022
El contrato fijo discontinuo, en el punto de mira de la Inspección de Trabajo
30 mayo, 2022¿Has adaptado todos los contratos de encargado de tratamiento al RGPD?
EL 25 de mayo de 2022 se cumplen cuatro años desde la plena aplicación del Reglamento General de Protección de Datos (RGPD) y aún hay empresas y organizaciones sin ánimo de lucro o fundaciones que incumplen con la normativa vigente sobre privacidad. Es un buen momento para hacer una revisión y comprobar si todos sus contratos de encargado de tratamiento cumplen con los requisitos mínimos que exige el RGPD. Y según la normativa española este 25 de mayo se cumple el plazo máximo para adaptarse. Si necesita asesoramiento, puede contactar con nuestros abogados del área de Tecnología.
- Lee también: Las sanciones de protección de datos más elevadas: publicidad, telecomunicaciones y financiero
- Lee también: Datos personales, ¿cuál es la diferencia entre anonimización y seudonimización?
- Lee también: Ventajas de Europrivacy, la certificación europea de protección de datos
- Lee también: El Bufete Mas y Calvet, primer despacho de abogados español en ser socio oficial de Europrivacy
- Leer también:Protección de datos: riesgos de usar Google Analytics para las empresas
Este aniversario también marca la fecha tope para adaptar los contratos de encargado de tratamiento suscritos con anterioridad a la aplicación del RGPD –es decir, anteriores al 25 de mayo de 2018- y lograr que cumplan con la normativa en vigor. Así lo recoge la Disposición Transitoria 5ª de la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPD GDD).
En ella se indica que los contratos que se hubieran suscrito conforme a lo exigido por la anterior Ley Orgánica de Protección de Datos podrían mantener su vigencia. Pero si se pactaron con carácter indefinido, el plazo máximo para adaptarse a las nuevas exigencias culminaría el 25 de mayo de 2022.
“Los contratos de encargado de tratamiento de datos personales suscritos por un tiempo indefinido deberá estar adaptado al Reglamento General de Protección de Datos como máximo el 25 de mayo de 2022”
Conviene recordar que el tratamiento de datos por el encargado se regirá obligatoriamente por un contrato u acto jurídico, formalizado por escrito, que vincule al encargado respecto del responsable. No basta que contenga generalidades, pues el RGPD requiere que especifique el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable.
Los nuevos contratos de encargado de tratamiento o las renovaciones contractuales que regulen la prestación de este tipo de servicios deben incluir, por lo menos, los contenidos mínimos que recoge el art. 28 del RGPD. Pero ¿qué ocurre con los contratos anteriores?
En la práctica, es muy importante conocer que durante dichos plazos y hasta este 25 de mayo de 2022 cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el artículo 28 RGPD.
“Las empresas y entidades han de saber que ‘únicamente’ pueden contratar proveedores o encargados de tratamiento que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas. Por tanto, antes de proceder a la contratación conviene verificar si el encargado de tratamiento cumple con la normativa de protección de datos. En España, la Ley de 2018 contempla cuatro posibles infracciones sancionables en este contexto: contratar a un encargado que no ofrezca garantías suficientes, encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato o acto jurídico escrito, la subcontratación por el encargado sin autorización previa del responsable o sin informarle, así como que el encargado incumpla los fines y los medios del tratamiento”
Efrén Díaz, abogado responsable del área de Tecnología del Bufete Mas y Calvet
Suscribir un nuevo contrato o incluir una adenda
¿Qué deben hacer las empresas? Lo primero es hacer una revisión y listado de encargados de tratamiento para detectar si cuentan con contratos de estas características y si cumplen efectivamente con el RGPD.
Tras el análisis caso a caso, habrá que determinar si es necesario suscribir un nuevo contrato de prestación de servicios o si, por el contrario, sería suficiente con añadir o modificar el clausulado.
Por experiencia profesional, se desaconseja la firma de anexos independientes o inconexos con el contrato principal cuyas prestaciones motivan el procesamiento de los datos personales, si bien se podrían estudiar para situaciones específicas en las que no sea posible por motivos sustantivos o formales la novación de contrato.
Contratos de encargado de tratamiento: evaluación
Esta revisión de los contratos firmados con anterioridad al 25 de mayo de 2018 puede ser también una buena ocasión para evaluar el cumplimiento de esta materia por parte del encargado de tratamiento. El RGPD señala que las empresas, en su carácter de responsable del tratamiento, están obligadas a elegir “únicamente” -como subraya el RGPD- a encargados del tratamiento (proveedores a los que se comunican los datos) que ofrezcan garantías técnicas y organizativas apropiadas para que el tratamiento garantice la protección de los derechos del interesado, es decir, de las personas que son titulares de dichos datos.
Esta evaluación debe ser periódica y no se debe realizar únicamente en el momento de la contratación de los servicios. Esta valoración debe basarte en un procedimiento que ofrezca garantías de objetividad y puede estar integrado en el sistema interno de homologación de proveedores, pero también debería poder activarse de forma independiente. Contar con un sistema automatizado puede ser una solución eficaz que agilicen las evaluaciones periódicas.
Transferencia internacional de datos
¿Qué ocurre cuando el encargado del tratamiento se sitúa fuera del Espacio Económico Europeo (EEE)? Si la Comisión Europea no ha declarado dicho territorio como destino seguro, es posible que se esté realizando una transferencia internacional de datos. Y esto entraña riesgos adicionales para el cumplimiento en materia de privacidad.
Por medio de unas evaluaciones específicas, las TIA (transfer impact assessment, por sus siglas en inglés), se analizan cuatro aspectos: el exportador de los datos, las características de la transferencia, el régimen legal del territorio de destino y el destinatario de los datos.
Las transferencias internacionales de protección de datos entrañan riesgos adicionales para las empresas responsables de tratamiento, por lo que será necesario asesorarse de forma oportuna con especialistas acreditados en protección de datos para tener mayores garantías de cumplimiento en las actividades de su empresa.
Especialistas en protección de datos
En el Bufete Mas y Calvet contamos con un equipo de abogados especializado asesoramiento en todo lo relacionado con el cumplimiento legal sobre la protección de datos personales y privacidad. Las empresas y organizaciones con las que trabajamos cuentan con servicios de Delegado de Protección de Datos (DPD) externo, evaluaciones de impacto y protocolos europeos de protección de datos personales, como es la certificación Europrivacy. También podemos ejercer la defensa en procedimientos sancionadores de la AEPD, transferencias internacionales de datos, etc. Contacte con nosotros y le ayudaremos en todas sus consultas legales.