El Reglamento General de Protección de Datos especifica cómo debe ser el acuerdo entre el responsable y el encargado del tratamiento. Para entender las implicaciones jurídicas de esta relación, desde el despacho de abogados en Barcelona te damos recomendaciones para elaborar contratos adaptados al RGPD. Conoce los puntos clave y qué hacer para adaptarte.
Resumen del artículo
¿Qué es el RGPD?
El Reglamento General de Protección de Datos (RGPD) es la normativa europea que rige el tratamiento de los datos personales de los ciudadanos. Garantizando de esta manera mayor seguridad y control sobre sus datos personales.
Las nuevas normas exigen mayor transparencia con los usuarios sobre la recopilación y uso de los datos personales. Las empresas están obligadas a custodiar la información de manera correcta, evaluar los riesgos y tomar las medidas necesarias para protegerla. Asimismo tendrán que comunicar cualquier brecha de seguridad que surja. También aparece la figura del Delegado de Protección de Datos, quien es el encargado de evaluar los riesgos y cómo solventarlos.
El RGPD entró en vigencia en mayo de 2016 y su aplicación es obligatoria desde mayo de 2018. Durante estos dos años las empresas han tenido tiempo para adaptarse a las nuevas reglas y evitar posibles sanciones.
Todas las empresas europeas o que tengan negocios con algún país comunitario deben cumplir con este marco legal.
El reglamento implica un tratamiento más activo en cuanto a la protección de los datos personales. Entre los aspectos que trata está la relación entre los encargados y los responsables del tratamiento y los puntos que se deben tratar en el contrato. Si tu empresa necesita adaptarse al reglamento de protección de datos, debes tener clara la siguiente información.
¿Quiénes son el encargado y el responsable del tratamiento?
El responsable es quien determina los propósitos y los medios de procesamiento de los datos. De acuerdo al artículo 4 del RGPD puede ser una persona física o jurídica, autoridad pública, agencia u otro.
Esta persona, agencia o autoridad debe asegurarse que el tratamiento de los datos se hace de acuerdo al reglamento, respetando los derechos de los usuarios. Además, es responsable de que se cumpla con los principios de confidencialidad, transparencia, exactitud, legalidad, justicia e integridad de almacenamiento.
Por otra parte, el encargado del tratamiento es quien procesa los datos en nombre del responsable. En sus manos está tomar todas las medidas técnicas y organizacionales para asegurarse de cumplir con los derechos de los usuarios y cumplir con la regulación.
Se entiende así que el responsable se encarga de definir el tratamiento de la información, mientras que el encargado lo lleva a cabo. Será este último quien recoja los datos, almacenarlos, registrarlos, destruirlos o cualquier otro tratamiento que se establezca al elaborar el contrato.
Las funciones del encargado están limitadas a lo que se establezca en el acuerdo con el responsable. Bajo ninguna circunstancia los puede utilizar para fines propios.
¿Cómo se elige al responsable del tratamiento?
El responsable del tratamiento será el encargado de elegir y supervisar al encargado. Para lo cual debe fijarse que este dé garantías suficientes para proteger los datos de los usuarios. El encargado, por su parte, tomará las medidas que sean necesarias para resguardar la información personal y utilizarla solo para los propósitos establecidos.
Al elegir al encargado del tratamiento, el responsable puede escoger alguien que esté fuera de la Unión Europea pero debe regirse por la regulación de transferencias internacionales. Estas normas también están establecidas en el reglamento.
Una vez que se elija quién será el encargado del tratamiento, la relación debe quedar documentada en un contrato o acto jurídico similar a este.
Recomendaciones para elaborar contratos adaptados al RGPD
Dentro del acuerdo que rige la relación entre el responsable y el encargado de tratamiento se debe especificar, como mínimo la siguiente información:
- Objeto, duración y naturaleza del tratamiento.
- Cuál es la finalidad del tratamiento.
- El tipo de datos personales que se van a recoger.
- Categorías de los interesados.
- Especificar las obligaciones y derechos de los responsables.
La AEPD ha puesto a disposición de las empresas una serie de recursos para entender cómo cumplir el nuevo reglamento de protección de datos. En esta guía para pymes será posible encontrar información sobre el contrato, el impacto de la protección de los datos, análisis de riesgo y más.
Las instrucciones al encargado del tratamiento, el uso de los datos y finalidades deben figurar en el contrato. También debe establecerse el régimen de subcontratación, esto en caso de que el encargado tenga que recurrir a un tercero para cumplir con las obligaciones.
Se debe especificar cómo el encargado colaborará con el responsable para demostrar el cumplimiento del RGPD. Así como el destino de los datos cuando finalice la relación entre ambas partes. Lo cual puede incluir el traspaso o la supresión de los datos.
El cumplimiento con este reglamento tiene implicaciones legales importantes. Por lo tanto, es necesario asesorarse y estar al día con la regulación. Si tu empresa está en funcionamiento y no se ha ajustado a las normas, debe hacerlo cuanto antes. O, si es nueva, debes tener claras cuáles son las nuevas reglas porque ahora el tratamiento de los datos es aún más estricto.
A continuación te damos más detalles sobre lo que debe contener el contrato entre el responsable y el encargado del tratamiento. Todos estos puntos están especificados en las directrices para elaborar el contrato.
Instrucciones al responsable del tratamiento
En el documento deben aparecer de forma clara los tratamientos precisos que el encargado debe hacer a los datos. El responsable es quien determina cuáles serán esos tratamientos de acuerdo al tipo de servicio que presta. Esto incluye las comunicaciones a terceros que debe hacer el responsable.
Por otra parte, si el encargado percibe que alguna de las instrucciones incumple con el RGPD debe comunicarlo al responsable.
Deber de confidencialidad
El responsable debe comprometerse a que los datos de los interesados estarán resguardados. Es decir, las personas que se encarguen de manejar esa información deben tratarlos en estricta confidencialidad. Dentro del contrato se debe establecer cómo harán para garantizar este principio.
Medidas de seguridad
Entre las obligaciones del encargado resalta el deber de evaluar los riesgos que existen en el tratamiento de datos. Así como establecer todas las medidas necesarias para garantizar la seguridad de esta información.
En el contrato deben figurar tanto las medidas que se van a tomar como su compromiso expreso de velar por la seguridad de los datos.
De los mecanismos para tratar los datos también pueden surgir otros riesgos, como la tecnología utilizada o las personas que tengan acceso a los datos. Todo esto debe contemplarse y plantear las medidas de seguridad pertinentes.
Además de garantizar la confidencialidad e integridad de los datos, también debe hacerse cargo del cifrado de la información. Así como su recuperación en caso de que hay algún incidente.
Régimen de subcontratación
El RGPD establece la posibilidad de que el encargado subcontrate a un tercero para llevar a cabo sus labores. No obstante, para hacerlo debe tener la autorización del responsable del tratamiento.
La autorización puede identificar a la persona que se va a subcontratar o ser general. En este último caso, el encargado debe informar de quién se trata este tercero. El subencargado queda sujeto a las mismas instrucciones del encargado. Es decir, tendrá las mismas obligaciones y responsabilidades en cuanto al tratamiento de la información se refiere.
Derechos de los interesados
Ante las solicitudes de los usuarios de ejercer algún derecho sobre su información está la obligación de responder a la misma. Estos derechos pueden ser sobre el acceso a los datos, rectificación, supresión, oposición, limitación de tratamiento, entre otros.
Dentro del acuerdo se debe especificar si el encargado debe atender estas solicitudes o si solo debe comunicarlas al responsable. De igual forma deben quedar claros los tiempos en los que se dará respuesta.
Colaboración del encargado con el responsable para el cumplimiento de sus obligaciones
El encargado debe ayudar al responsable a cumplir con el reglamento europeo de protección de datos. Debe hacerlo tanto en materia de seguridad como en las evaluaciones de impactos que sean necesarias. Debe responder a las consultas que se hagan e informar sobre posibles violaciones a los datos de los usuarios.
Destino de los datos
En el acuerdo también se debe especificar qué sucederá con los datos personales una vez que finalice la relación entre el responsable y el encargado.
Las alternativas que existen son la devolución de los datos al responsable o la supresión de los mismos. Será el responsable quien decidirá cuál será el destino de esa información.
Colaboración para demostrar el cumplimiento de la ley
El último punto clave que debe aparecer en el contrato es la obligatoriedad del encargado de colaborar con el responsable para demostrar que cumple con la ley. Es decir, debe poner a su disposición toda la información necesaria.
De igual manera, si existe la necesidad de hacer una auditoría, el encargado debe permitir que se haga.
Estas recomendaciones para elaborar contratos adaptados al RGPD incluyen los puntos clave que aparecen en la guía de la Agencia Española de Protección de Datos. Si requieres asesoría para elaboración de contratos, contáctanos.
