Contrato de encargo en el tratamiento de datos

Contrato de encargo en el tratamiento de datos

Por
23/12/2022

Desde la entrada en vigor del RGPD, la relación entre el responsable y el encargado del tratamiento necesariamente debe formalizarse a través del denominado contrato de encargo del tratamiento de datos. En el artículo de hoy profundizaremos en las características de este contrato, así como en estas dos figuras.

Las figuras del responsable y encargado del tratamiento

El responsable del tratamiento o responsable es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.

El encargado del tratamiento o encargado es la persona física o jurídica, autoridad pública, servicio u otro organismo que presta un servicio al responsable que conlleva el tratamiento de datos personales por cuenta de éste. Es decir, trata datos personales por cuenta del responsable.

¿Qué es el contrato de encargo en el tratamiento de datos?

Es un contrato o acto jurídico con arreglo a Derecho que vincula al responsable y al encargado, fija el objeto y la duración del tratamiento, la naturaleza y fines del tratamiento, el tipo de datos personales y las categorías de interesados, así como las funciones y responsabilidades específicas del encargado en el contexto del tratamiento que debe llevarse a cabo y del riesgo para los derechos y libertades del interesado.

El responsable y el encargado pueden optar por basarse en un contrato individual o en cláusulas contractuales tipo que adopte directamente la Comisión o que primero adopte una autoridad de control de conformidad con el mecanismo de coherencia y posteriormente la Comisión.

El encargado del tratamiento puede adoptar todas las decisiones organizativas y operacionales necesarias para la prestación del servicio que tenga contratado. Pero, en ningún caso puede variar las finalidades y los usos de los datos ni los puede utilizar para sus propias finalidades.

Las decisiones que adopte deben respetar en todo caso las instrucciones dadas por el responsable del tratamiento.

¿Puede el responsable del tratamiento elegir cualquier encargado del tratamiento?

El responsable del tratamiento debe elegir un encargado del tratamiento que ofrezca garantías suficientes respecto a la implantación y el mantenimiento de las medidas técnicas y organizativas apropiadas, de acuerdo con lo establecido en el Reglamento General de Protección de Datos (RGPD), y que garantice la protección de los derechos de las personas afectadas. Existe, por tanto, un deber de diligencia en la elección del responsable.

El Considerando 81 del RGPD prevé que el responsable del tratamiento debe recurrir únicamente a encargados que ofrezcan suficientes garantías, en particular en lo que respecta a conocimientos especializados, fiabilidad y recursos, de cara a la aplicación de medidas técnicas y organizativas que cumplan los requisitos del RGPD, incluida la seguridad del tratamiento.

Para demostrar que el encargado ofrece garantías suficientes, el RGPD prevé que la adhesión a códigos de conducta o la posesión de un certificado de protección de datos pueden servir como mecanismos de prueba.

¿Cuál debe ser el contenido del contrato de encargo en el tratamiento de datos?

El contenido mínimo del contrato de encargo en el tratamiento de datos es:

  1. Objeto, duración, naturaleza y la finalidad del tratamiento.
  2. Tipo de datos personales y categorías de interesados.
  3. Las obligaciones y derechos del responsable del tratamiento.
  4. Obligación del encargado de tratar los datos personales únicamente siguiendo instrucciones documentadas del responsable.
  5. El acuerdo debe establecer el régimen de subcontratación, es decir, debe recoger las condiciones para que el responsable pueda dar su autorización previa, específica o general, a las subcontrataciones.
  6. Asistencia al responsable, siempre que sea posible, en la atención al ejercicio de derechos de los interesados.
  7. Garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria.
  8. La obligación de adoptar las medidas necesarias para asegurar la seguridad de los datos personales. Se debe establecer la forma en que el encargado ayudará al responsable a garantizar el cumplimiento de las obligaciones relativas a la aplicación de las medidas de seguridad que correspondan, la notificación de violaciones de datos a las Autoridades de Protección de Datos, la comunicación de violaciones de datos a los interesados, la realización de las evaluaciones de impacto relativa la protección de datos y, en su caso, la realización de consultas previas.
  9. Asistir al responsable para hacer efectivo el derecho de los interesados sobre sus datos personales.
  10. El acuerde debe establecer de forma clara si el encargado del tratamiento suprimirá los datos personales o

¿Quién es responsable de los tratamientos realizados por el encargado?

El responsable del tratamiento no pierde esta consideración en ningún caso y, por tanto, continúa siendo responsable del correcto tratamiento de los datos personales y de la garantía de los derechos de las personas afectadas. El responsable tiene una obligación de especial diligencia en la elección y supervisión del encargado.

¿Qué sucede cuando finaliza el contrato de encargo en el tratamiento de datos?

Una vez finalizada la prestación de servicios, es decir, finalizado el tratamiento de datos por cuenta del responsable, el encargado debe devolver o suprimir los datos personales, salvo que el Derecho aplicable al encargado del tratamiento obligue a conservar los datos.

¿Tiene el Delegado de protección de datos la consideración de encargado del tratamiento si se externalizan su sunciones?

Sí, el RGPD prevé que el delegado de protección de datos debe poder acceder a los datos que se traten. Por tanto, deberá formalizarse un encargo del tratamiento.

¿Es necesario informar a los interesados de la contratación de un encargado del tratamiento?

El RGPD no establece la obligación de informar respecto a la contratación de un encargado del tratamiento. Pese a esto, en determinadas circunstancias (atendiendo, por ejemplo, a la naturaleza del tratamiento o de los datos tratados, o por otras circunstancias concurrentes) puede ser aconsejable dar esta información para una mayor transparencia en el tratamiento de los datos personales.

Ejemplo de cláusulas contractuales del contrato de encargo en el tratamiento de datos

 Puede consultar ejemplos de cláusulas contractuales para supuestos en que el encargado del tratamiento trate los datos en sus locales y exclusivamente con sus sistemas en las directrices para la elaboración del contrato entre responsables y encargados del tratamiento publicadas por la Agencia Española de Protección de Datos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

ARTÍCULOS RELACIONADOS