Como os avanzamos cuando entró en vigor la nueva normativa de protección de datos, uno de los aspectos que se debía tener en cuenta era la firma de los contratos de Encargado de Tratamiento. La norma indicó que los contratos suscritos antes del 25 de mayo de 2018 siguiendo con lo indicado en el artículo 12 de la LOPD, serían vigentes hasta la fecha señalada en los mismos o, en caso de ser indefinidos, hasta el 25 de mayo de 2022.
Esta fecha está cada vez más cerca y para poder ayudaros a cumplir con la normativa, en las siguientes líneas veremos cuándo se quién es encargado de tratamiento y por lo tanto debe firmar el contrato, que aspectos debe regular este contrato y qué pasa con el Encargado del tratamiento cuando está ubicado fuera de la UE.
1. ¿Quién es Encargado de Tratamiento?
El Encargado de Tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo, escogido por el Responsable del Tratamiento para tratar los datos con unos fines determinados. Para su elección se comprobará que ofrece suficientes garantías de cumplimiento de la normativa actual.
Para ayudar a diferenciar la figura del Responsable y del Encargado, se debe tener en cuenta que el primero es quién decide sobre la finalidad del tratamiento de la información y el segundo sigue sus instrucciones para realizar el tratamiento.
Como ejemplos de Encargados de Tratamiento tenemos las empresas que prestan el servicio de videovigilancia, las gestorías fiscales, laborales y contables, las empresa de mantenimiento informático de software, etc.
Debemos mencionar, determinados casos en que, a priori parecen encargados del tratamiento, pero la propia AEPD se ha pronunciado al respecto indicando que no son ET: son los casos de los auditores contables y las empresas de transporte y mensajería no son Encargados de Tratamiento, son responsables. En el caso de los auditores contables se fundamenta en que estos actúan como una figura autónoma y no reciben instrucciones de quién los contrata. En el caso de las empresas de mensajería se fundamenta en que los datos que se facilitan a la empresa se incorporan a su base de datos para realizar la entrega al destinatario.
2. ¿Qué contenido tiene el contrato de Encargado de Tratamiento?
La relación entre Responsable y Encargado se establecerá por un contrato o acto jurídico válido en derecho, este deberá establecer el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales tratados y las categorías de interesados y las obligaciones y derechos del responsable.
El Encargado no podrá subcontratar el servicio a un tercero sin la autorización previa del responsable, que éste deberá ser avisado por si se quiere oponer. En caso de proceder con la subcontratación, esta empresa deberá tener un contrato o acto jurídico vinculante con las mismas obligaciones que las estipuladas entre el Responsable y el Encargado. En caso de incumplimiento por parte del subcontratado, el Encargado será quién responderá.
3. Encargado de Tratamiento fuera de la UE
En el caso de encontrarnos con una comunicación de datos personales fuera de la UE se debe seguir garantizando el nivel de protección que establece el Reglamento. Para hacerlo nos podemos encontrar con las siguientes situaciones:
- Transferencia basada en una decisión de adecuación de la comisión.
- Normas corporativas vinculantes.
- Aportación de las garantías adecuadas.
- Excepciones para situaciones específicas.
- Autorización expresa de la AEPD.
En este punto debemos mencionar el caso de EEUU, con quién hasta julio de 2020 se realizaban las transferencias internacionales de datos en base al “Privacy Shield” hasta que este fue invalidado. Desde ese momento no había habido otros acuerdos, hasta ahora, que han llegado a un acuerdo para hacer una regulación que permita cumplir con los estándares de privacidad recogidos en la normativa europea de protección de datos.
En conclusión,
El plazo para firmar los contratos con los Encargados de Tratamiento llega a su fin, por lo que debéis comprobar si tenéis o no los contratos firmados, con base en el RGPD. Deberéis corroborar con todos vuestros encargados la firma de este tipo de contratos.
Estamos a vuestra disposición para cualquier duda al respecto, contáctanos.
El equipo de Tic Bcn.
Noticia Pyme Legal.