Entradas

El contrato de protección de datos es un acuerdo que deben formalizar las empresas o profesionales, con aquellos proveedores que les prestan servicios. Será obligatorio si la prestación de los servicios requiere acceso directo o indirecto a datos personales.

La obligación de este contrato está en el artículo 28 del Reglamento General de Protección de Datos -en adelante RGPD-, así como el artículo 33, de la nueva Ley de protección de datos, la Ley Orgánica 3/2018 de Protección de Datos y garantía de los derechos digitales – en adelante LOPD o LOPDGDD indistintamente-.

En este artículo le contaremos:

  1. Generalidades sobre  el contrato de protección de datos
    1. ¿Cuál es el nombre correcto, o cómo debemos llamarlo?
    2. ¿Qué es el contrato de protección de datos?
    3. 1.3. No es un documento nuevo, ya en la LOPD 15/1999 existía.
    4. ¿Qué características debe tener? Forma, medio y modo de formalización.
    5. ¿Quién debe facilitar el documento?
    6. ¿Qué persona debe firmar el documento?
  2. ¿Cuáles son las partes?
    1. ¿Quién es el responsable y quién el encargado de tratamiento?
    2. OJO: Si usted es responsable, tiene la obligación de SOLO contratar encargados que cumplan con la normativa de protección de datos.
  3. ¿Qué contenido mínimo debe tener el contrato?
  4. Otros contenidos frecuentes, y algunos a los que hay que estar atento.
  5. Consecuencias de no formalizar el contrato de protección de datos.
  6. Beneficios. Además de cumplir con el RGPD y la LOPD.

1. Generalidades sobre el contrato de protección de datos

1.1. ¿Cuál es el nombre correcto o cómo debemos llamarlo? 

Es importante saber que no hay un nombre único, y siempre que cumplan con el RGPD y la nueva LOPD, todos los nombres son correctos.

El nombre ha variado tanto como ha evolucionado la normativa de protección de datos. También tanto como profesionales deciden poner nombres «personalizados». Algunas de las variantes más conocidas son:

  1. Contrato o acuerdo de encargo de tratamiento de datos.
  2. Contrato de tratamiento de datos por cuenta de terceros.
  3. Contrato de acceso a datos por cuenta de terceros.

1.2. ¿Qué es el contrato de protección de datos?

El RGPD lo define como un «contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable«.

Total, que como ya dijimos antes, es un documento a formalizar entre las partes de una prestación de servicios, en las que el proveedor trate datos personales de los que sea responsable el cliente.

1.3. No es un documento nuevo, ya en la LOPD 15/1999 existía.

Pues eso, que el artículo 12 de la LOPD 15/99 ya exigía su formalización. La cuestión es que no era tan exigente con los prestadores de servicio con lo es el artículo 28 RGPD. Luego, si además le sumamos los añadidos del artículo 33 de la nueva LOPD 3/2018, se puede decir que los encargados/proveedores tendrán mucho más que hacer, y por lo que responder.

1.4. Formato, medio y modo de formalización.

1.4.1 Es un acuerdo que debe constar por escrito. Artículo 28.9 RGPD.

Es un documento que define las responsabilidades, vínculos y acuerdos de las partes. Y debe estar por escrito. En este caso no valen los acuerdos verbales.

1.4.2. Puede ser físico o electrónico. Artículo 28.9 RGPD.

Puede estar en soporte físico, es decir en papel. También puede estar en formato electrónico.

1.4.3. Puede ser aceptado o firmado por medios electrónicos.

Si el acuerdo escrito puede estar en soporte electrónico, queda claro que también puede ser aceptado por ese medio. La firma electrónica será sin duda la reina, pero no será la única forma de aceptación.

1.4.4. Se podrá aceptar mediante marcado de casillas.  Siempre que se guarden los logs necesarios para trazar la voluntad de las partes y los datos asociados al acto del acuerdo.

También podrán tenerse como válidas otras formas de aceptación, por ejemplo mediante un correo electrónico en el que se acepte el contenido. Entre otros.

1.5. ¿Quién debe facilitar el documento?

El documento es obligación de ambas partes, aunque quien tiene la obligación principal de escoger un prestador que cumpla la LOPD y el RGPD, y formalizar el acuerdo previamente a la prestación de los servicios es el responsable.

Aún así, cualquiera de las partes puede facilitarlo, siempre que queden plasmadas las instrucciones del responsable, es decir el cliente; también las particularidades de la prestación del servicio y las medidas de seguridad, o incluso medidas de apoyo al responsable que debe cumplir en encargado (el proveedor).

Total, que en primer lugar debería ser un documento facilitado por el responsable, pero si no, debería como mínimo ayudar a configurar el contenido y la forma. En definitiva, no debe ser un contenido impuesto por el proveedor, en propio beneficio.

1.6. ¿Qué persona debe firmar el documento?

El contrato debe ser firmado o aceptado por una persona con capacidad de vincular a la empresa o empresario individual, con su proveedor. Puede ser el propietario o titular, administrador, gerente, o cualquier otra persona con capacidad para realizar la vinculación, bien por motivos del cargo que ostenta o porque lo haga por encargo de un superior.

2. ¿Cuáles son las partes? ¿Quién es el responsable y quién el encargado del tratamiento?

2.1 Definiciones

El Reglamento General de Protección de Datos tiene las siguiente definiciones, que en sí son bastante claras:

Artículo 4 RGPD:

7) «responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento;

8) «encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento;

2.2. ¿Quién soy yo?

Depende de la posición que ostente en cada momento. Así en plan rápido:

  • El responsable suele ser el cliente de la prestación del servicio. 
  • El encargado suele ser el prestador/proveedor de servicios.
  • También existe el subencargado: el proveedor que presta servicios al encargado, y durante los cuales tiene o podría tener acceso a los datos de los que es responsable jurídicamente, el responsable.

2.3. Si usted es responsable, tiene la obligación de SOLO contratar encargados que cumplan con la normativa de protección de datos.

OJO: El artículo 28.1. dice textualmente (y su inclumplimiento es una infracción grave de la LOPD 3/2018):

El responsable «…elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.

3. ¿Qué contenido mínimo debe tener el contrato?

El contrato de protección de datos tiene un contenido mínimo definido por el artículo 28 RGPD, en particular su número 3. Si un contrato no lo tiene todo, podemos decir que o no es válido, o está incompleto.

Ahora bien, la nueva LOPD 3/2018, incluye algunas aclaraciones que deberán ser tenidas en cuenta durante el desarrollo y finalización del contrato.

3.1 El contrato debe contener conforme a lo que dispone el artículo 28 del RGPD lo siguiente:

  1. Objeto, duración, naturaleza y finalidad del tratamiento de datos que se encarga.
  2. Tipo de datos personales tratados
  3. Categorías de interesados de los que el encargado tratará datos directa o indirectamente.
  4. Obligaciones y derechos del responsable.
  5. Reglas para la subcontratación de servicios.
  6. Las obligaciones del encargado. Estas se listan de forma particular, y son:
    1. Tratar los datos solo siguiendo instrucciones del responsable
    2. Garantizar que el personal que tratará los datos está formada en protección de datos y respetará el deber de confidencialidad.
    3. Aplicará las medidas de seguridad técnicas y organizativas que resulten de la evaluación de riesgos que le corresponde.
    4. No acudirá a otro encargado sin informar y ser autorizado por el responsable.
    5. Asistir al responsable en el ejercicio de derechos (o no, según contrato).
    6. ayudar al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36.
    7. Suprimir o devolver los datos personales una vez finalice la prestación de los servicios. Con excepciones según obligaciones legales.
    8. Poner a disposición del responsable información para demostrar el cumplimiento de las obligaciones establecidas en el art. 28 RGPD.

3.2. Otros contenidos frecuentes, y algunos a los que hay que estar atento.

La AEPD tiene una guía con directrices para elaborar contratos entre responsables y encargados, y contiene una plantilla que está siendo muy utilizada y que contiene contenidos adicionales tales como:

  1. La obligación de llevar el registro de actividades de tratamiento que se realizan como encargado.
  2. Una lista de medidas de seguridad conforme el art. 32 RGPD
  3. Toda la información sobre violaciones y brechas de seguridad
  4. Obligaciones del responsable: en las que incluye la realización de las Evaluaciones de impacto en la privacidad cuando sean necesarias, la supervisión del encargado, etc.
  5. Destino de los datos, en los que se incluye la opción de pasarlos a otros encargados.

5. ¿Qué consecuencias tiene no formalizar el contrato de protección de datos?

La no formalizacion del acuerdo de encargo de tratamiento de datos es infracción de la normativa de protección de datos. En España esta tipificada en la nueva LOPDgdd como:

Infracciones grave. Artículo 73:

«j) La contratación … de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas…»

«k) Encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito conforme el artículo 28.3 RGPD»

«l) La contratación por un encargado … de otros encargados sin contar con la autorización previa del responsable, o sin haberle informado sobre los cambios producidos en la subcontratación cuando fueran legalmente exigibles.» (Subcontratación)

m) La infracción por un encargado de lo dispuesto en el RGPD y en la LOPD, al determinar los fines y los medios del tratamiento…»

Infracción muy grave. Art. 74:

«j) Que el encargado no comunique al responsable acerca de la posible infracción por una instrucción recibida de este de las disposiciones del RGPD…»

«k) El incumplimiento por el encargado de las estipulaciones impuestas en el contrato o acto jurídico que regula el tratamiento o las instrucciones del responsable del tratamiento, salvo (varios)»

6. Beneficios. Además de cumplir con el RGPD y la LOPD.

El contrato de protección de datos no solo da cumplimiento a la normativa en cuestión, además es una forma de definir las responsabilidades entre las partes.

En muchas ocasiones, por desgracia, este el único documento que recoge de forma escrita y formal los servicios prestados, las obligaciones, y aunque parezca extraño, la responsabilidad y titularidad de los datos.

Para muchas pymes y profesionales cumplir con esta obligación es una salvaguarda ante sus prestadores de servicio que ahora ven como  el RGPD en su artículo 28 por fin exige a los encargados, más responsabilidad y definición de obligaciones.

Conclusiones

Formalizar el acuerdo de tratamiento de datos es una obligación legal de todos los responsables (empresas, ongs, asociaciones, comunidades de propietarios, profesionales, empresarios individuales, fundaciones, etc.) que subcontraten servicios durante los cuales el proveedor acceda a datos personales de su responsabilidad.

Por otro lado, su cumplimiento beneficia la formalización de acuerdos y responsabilidades de las partes, y es un punto de agarre y defensa entre las mismas.

En Dataseg te ofrecemos nuestro servicio de consultoría y asesoramiento en materia de protección de datos, estaremos encantados de echarle una mano con este y otros temas de su interés.

Los titulares de páginas web deben realizar una adecuación legal web. La finalidad es cumplir aquellas leyes que se han erigido como garantes de los derechos de las
personas en internet.

Con la expansión de internet, cada vez somos más propensos a realizar transacciones a través de la red. Necesitamos seguridad jurídica, y estas leyes bien aplicadas nos ayudan a conseguirla.

Hay que recordar que en su momento parecía que internet era el Salvaje Oeste. Nada más lejos de la realidad. Pero, para evitar confusiones, y aclarar algunas
líneas muy delgadas, se creó la regulación especifica de los servicios de la sociedad de la información.

Nota: artículo actualizado el 04/11/2018 para incluir lo relativo a la adecuación web al RGPD – Reglamento General de Protección de Datos UE 679/2016.

¿Qué leyes se tienen en cuenta en una adecuación legal web?

El ecosistema jurídico aplicable a los negocios en interner, es el mismo que es de aplicación en su parte física. Tenemos al Código Civil, Código de Comercio, Código Penal, entre otros. Luego, las leyes especiales que imponen obligaciones concretas a aquellas empresas y profesionales que gestionan y explotan una página web.

Específicas de negocios en internet
Relativas al producto/servicio y actividad económica

Las anteriores para empezar. A partir de ellas hay que sumar la legislación específica relativa a la actividad que se realice. Así como la de los productos o servicios ofrezca. Esto para transacciones B2C (negocio a persona física)

Para transacciones B2B (negocio con negocio)  pues oye, que venga el Código Civil y la legislación mercantil y repartan cuantas reglas hagan falta.

En nuestros post hablaremos del caso que más se presta para generalizar. El B2C, y las leyes básicas aplicables a casi toda la generalidad de páginas web de negocios o profesionales.

Pero, ¿cuáles son las leyes que debo cumplir en MI web?

Sabiendo de antemano que existe una regulación de los servicios prestados u ofrecidos a través de internet, así como que es de aplicación todo el ordenamiento jurídico básico de nuestro país, le dejamos una pequeña tabla que le permitirá identificar fácilmente las leyes que debe cumplir.

Lista indicativa, una opción no excluye la otra. Lo más probable es que salga, LSSI y el RGPD, casi siempre.

 

Y, ¿De esas Leyes qué tengo que hacer?

Bueno, nuestro propósito inicial fue escribir un solo artículo que resumiera todas las obligaciones. Como iba a quedar tipo testamento -de lo largo- haremos, otros 3 artículos que cumplimenten este. Serán sobre la LSSI-CE, el RGPD y la LGDCU.

Para resumir, os ponemos lo que a nuestro juicio son los dos pilares de estas tres leyes. El principio de información y transparencia, y el de consentimiento. Los demás son completamente transversales en asociación con estos.

Principio de información y transparencia.

En nuestras transacciones online, sean gratiutas u onerosas nos interesa tener seguridad jurídica. Saber que nuestros derechos serán respetados y que quien está del otro lado, va a cumplir su parte del trato.

  1. En la LSSI, artículo 10, encontramos la obligación publicar toda la información del titular de la web. Datos identificativos, fiscales, de contacto, de localización y registro. En caso de profesiones reguladas también se piden información específica. Si en la web se ofrecen productos o servicios deben aparecer claramente los precios, impuestos aplicables y gastos de envío. Entre otras.
  2. El RGPD por su parte dispone en el artículo 5.1 en su apartado a) el principio de transparencia en relación al tratamiento de datos del interesado, y en su artículo 13 relativo al derecho de información, establece que se facilitará toda la información siguiente al interesado: la identidad y los datos de contacto del responsable, los fines a los que se destinan los datos personales, los destinatarios o las categorías de destinatarios de los datos personales, el plazo durante el cual se conservarán los datos personales, así como la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento.
    NOTA: En este apartado el artículo original hacía mención a las obligaciones de información de la LO. 15/1999 de Protección de Datos de Carácter Personal.
    Hace dos semanas la AEPD publicó su informe sobre ‘Políticas de privacidad en Internet. Adaptación al RGPD’. No quedó títere con cabeza, y definitivamente
    ese informe hecho de oficio por la Agencia deja claro que no se van a andar con chiquitas a la hora de evaluar el cumplimiento de los responsables. Puede ver el informe aquí https://www.aepd.es/media/estudios/informe-politicas-de-privacidad-adaptacion-RGPD.pdf
  3. La LGDCU, va más allá que la LSSI en lo relativo a los derechos de los consumidores y usuarios. Exige que todo tipo de información relativa a la venta o contratación, sea fácilmente accesible siempre para los consumidores. Así mismo que estos siempre tengan claro: cuál es el proceso de compra, los precios de los productos, del envío, la posibilidad del ejercicio del derecho de desistimiento, cancelación de la transacción, entre otros.
Principio del consentimiento.

Os podéis imaginar que, si estas leyes pretenden garantizar los derechos de los usuarios, uno de los puntos clave es priorizar la necesidad del consentimiento bien para recabar datos, para el envío de publicidad, o para la formalización de una transacción o cualquier otra finalidad que así lo requiera, así como la normativa aplicable: casos y leyes:

  • El Reglamento General de Protección de datos dispone que el consentimiento ha de ser inequívoco, es decir, se ha de prestar mediante una manifestación o una clara acción afirmativa del interesado.
  • Por otro lado la LSSI, en sus artículos 20, 21 y 22 exigen, no solo información, sino, la autorización expresa. Ojo, expresa, para el envío de publicidad. Claro, también hay alguna excepción, la más importante, y asociada a la pronto inicio de aplicación del RGPD, será la del interés legítimo.
  • En la LGDCU -por recordar, Ley General Para la Defensa de Consumidores y Usuarios- solo se podrán entender como realizadas aquellas transacciones que sean realizadas con el consentimiento y aceptación plena e informada del consumidor. Aquellas se realicen de forma engañosa, no tendrán validez.

Conclusiones

Tener una página web requiere de una visión de amplio espectro. Que no solo se vea por la consecución del fin de su puesta en marcha, sino también, de la defensa y garantía de los derechos de nuestros destinatarios del servicio o consumidores.

El cumplimiento de estas normas, no solo protege los derechos de los usuarios o consumidores, sino también de los del titular de la web. Con el cumplimiento de las normas en muchos casos limita su responsabilidad, así como evita incidencias mayores al poner en claro las reglas del juego. Las leyes están para cumplirlas, pero si además las cumplimos como valor añadido podremos conseguir que nuestro sitio web sea reconocido por su fiabilidad y cumplimiento.

Si necesitáis ayuda con la adecuación legal de vuestra web, ecommerce, palataforma Saas, o cualquier otro servicio de la sociedad de la información, no dudéis en contactarnos. Nuestro nuestro servicio de adecuación legal web, software y app, ha sido diseñado para eso.

PS/ Pronto publicaremos el siguiente artículo. Adecuación Legal Web (II). La LSSI.

Contrato de tratamiento de datos por cuenta de terceros ¿Qué es y qué pasa si no lo firmo?

Existe una obligación formal que establece la LOPD en su artículo 12, que es regular en un contrato por escrito, o en alguna otra forma que permita acreditar su celebración y contenido, el acceso a los datos por parte de terceros para que estos posteriormente realicen un tratamiento sobre ellos en el marco de una relación de prestación de servicios.

Hay que tener en cuenta que se debe hacer cuándo nosotros somos los clientes, pero también cuando somos los proveedores. El caso es regularizar la comunicación de los datos entre las partes, para que el intercambio de información sea conforme a la ley.

Para ver la razón de la obligación, es necesario remitirse a la L.O. 15/99 de Protección de Datos de Carácter Personal, más conocida como LOPD.

Puntos clave de la LOPD

  1. Art. 6.1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.
  2. Art. 7.3 Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente.
  3. Art. 11.1 Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.
  4. Art. 12.1 No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.

La ley es clara, solo se pueden tratar o comunicar los datos, si tenemos el consentimiento del afectado. En este sentido, el contrato de tratamiento de datos por cuenta de terceros, es una estupenda herramienta para comunicar datos durante una relación de prestación de servicios, sin tener que interrumpir la fluidez de la comunicación a expensas de obtener el consentimiento individual de los afectados.

La obligación de la firma de este contrato, aparece en el art. 12 de la LOPD. Un artículo dedicado por completo a este recurso, en el que se aprecia no solo la obligación de regular el acceso a los datos, sino que también establece cómo debe hacerse, y el contenido mínimo que debe tener.

Apreciemos más de cerca el contenido del Artículo 12 LOPD

2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.

3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

 

Responsable del tratamiento y al Encargado del tratamiento. ¿Pero quién es quién?

En Dataseg respondemos a esta pregunta continuamente ya que suele ser motivo de confusión.

Responsable del tratamiento

El responsable del tratamiento es el titular del fichero. Usando la definición rápida de la AEPD para sus resoluciones diremos que,

“…Conforme al artículo 3.d) el responsable del fichero o del tratamiento es “la persona física o jurídica (…) que decida sobre la finalidad, contenido y uso del tratamiento”

Encargado del tratamiento

Se denomina encargado del tratamiento a los prestadores de servicio con acceso a los datos. Así, según la AEPD. en sus resoluciones,

«…Conforme al artículo 3.g), es “la persona física o jurídica (…) que solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento”

Posibles Infracciones

En caso de no cumplir con esta obligación, podemos ser sancionados por la Agencia Española de Datos (AEPD).. Estas son las posibles infracciones de la LOPD:Art. 44.2. leves 900 a 40 mil €

d – La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de esta Ley.

Art. 44.3 Graves 40.001 a 300mil

b – Tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo.

d – La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley.

k – La comunicación o cesión de los datos de carácter personal sin contar con legitimación para ello en los términos previstos en esta Ley y sus disposiciones reglamentarias de desarrollo, salvo que la misma sea constitutiva de infracción muy grave.

El cumplimiento de esta formalidad puede evitar una sanción económica importante para los encargados y responsables de ficheros. Por destacar, muchas veces es el único documento que sienta las bases sobre la titularidad de los ficheros, así como las obligaciones y deberes que tienen los prestadores de servicios sobre los datos a los que tienen acceso, y que tratan a nombre de sus clientes.

Para verlo más claramente nos remitimos al mismo artículo 12, en su apartado 4, que dice:

Art. 12.4“…En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.”

Conclusión

Este contrato es es una formalidad exigida de la ley, una obligación expresa y con indicaciones claras sobre su cumplimiento. Además, es herramienta que usada correctamente, representará beneficios a corto y largo plazo entre las partes. Decía mi abuela: “Las cuentas claras y el chocolate espeso”.