El contrato de protección de datos es un acuerdo que deben formalizar las empresas o profesionales, con aquellos proveedores que les prestan servicios. Será obligatorio si la prestación de los servicios requiere acceso directo o indirecto a datos personales.
La obligación de este contrato está en el artículo 28 del Reglamento General de Protección de Datos -en adelante RGPD-, así como el artículo 33, de la nueva Ley de protección de datos, la Ley Orgánica 3/2018 de Protección de Datos y garantía de los derechos digitales – en adelante LOPD o LOPDGDD indistintamente-.
En este artículo le contaremos:
- Generalidades sobre el contrato de protección de datos
- ¿Cuál es el nombre correcto, o cómo debemos llamarlo?
- ¿Qué es el contrato de protección de datos?
- 1.3. No es un documento nuevo, ya en la LOPD 15/1999 existía.
- ¿Qué características debe tener? Forma, medio y modo de formalización.
- ¿Quién debe facilitar el documento?
- ¿Qué persona debe firmar el documento?
- ¿Cuáles son las partes?
- ¿Quién es el responsable y quién el encargado de tratamiento?
- OJO: Si usted es responsable, tiene la obligación de SOLO contratar encargados que cumplan con la normativa de protección de datos.
- ¿Qué contenido mínimo debe tener el contrato?
- Otros contenidos frecuentes, y algunos a los que hay que estar atento.
- Consecuencias de no formalizar el contrato de protección de datos.
- Beneficios. Además de cumplir con el RGPD y la LOPD.
1. Generalidades sobre el contrato de protección de datos
1.1. ¿Cuál es el nombre correcto o cómo debemos llamarlo?
Es importante saber que no hay un nombre único, y siempre que cumplan con el RGPD y la nueva LOPD, todos los nombres son correctos.
El nombre ha variado tanto como ha evolucionado la normativa de protección de datos. También tanto como profesionales deciden poner nombres «personalizados». Algunas de las variantes más conocidas son:
- Contrato o acuerdo de encargo de tratamiento de datos.
- Contrato de tratamiento de datos por cuenta de terceros.
- Contrato de acceso a datos por cuenta de terceros.
1.2. ¿Qué es el contrato de protección de datos?
El RGPD lo define como un «contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable«.
Total, que como ya dijimos antes, es un documento a formalizar entre las partes de una prestación de servicios, en las que el proveedor trate datos personales de los que sea responsable el cliente.
1.3. No es un documento nuevo, ya en la LOPD 15/1999 existía.
Pues eso, que el artículo 12 de la LOPD 15/99 ya exigía su formalización. La cuestión es que no era tan exigente con los prestadores de servicio con lo es el artículo 28 RGPD. Luego, si además le sumamos los añadidos del artículo 33 de la nueva LOPD 3/2018, se puede decir que los encargados/proveedores tendrán mucho más que hacer, y por lo que responder.
1.4. Formato, medio y modo de formalización.
1.4.1 Es un acuerdo que debe constar por escrito. Artículo 28.9 RGPD.
Es un documento que define las responsabilidades, vínculos y acuerdos de las partes. Y debe estar por escrito. En este caso no valen los acuerdos verbales.
1.4.2. Puede ser físico o electrónico. Artículo 28.9 RGPD.
Puede estar en soporte físico, es decir en papel. También puede estar en formato electrónico.
1.4.3. Puede ser aceptado o firmado por medios electrónicos.
Si el acuerdo escrito puede estar en soporte electrónico, queda claro que también puede ser aceptado por ese medio. La firma electrónica será sin duda la reina, pero no será la única forma de aceptación.
1.4.4. Se podrá aceptar mediante marcado de casillas. Siempre que se guarden los logs necesarios para trazar la voluntad de las partes y los datos asociados al acto del acuerdo.
También podrán tenerse como válidas otras formas de aceptación, por ejemplo mediante un correo electrónico en el que se acepte el contenido. Entre otros.
1.5. ¿Quién debe facilitar el documento?
El documento es obligación de ambas partes, aunque quien tiene la obligación principal de escoger un prestador que cumpla la LOPD y el RGPD, y formalizar el acuerdo previamente a la prestación de los servicios es el responsable.
Aún así, cualquiera de las partes puede facilitarlo, siempre que queden plasmadas las instrucciones del responsable, es decir el cliente; también las particularidades de la prestación del servicio y las medidas de seguridad, o incluso medidas de apoyo al responsable que debe cumplir en encargado (el proveedor).
Total, que en primer lugar debería ser un documento facilitado por el responsable, pero si no, debería como mínimo ayudar a configurar el contenido y la forma. En definitiva, no debe ser un contenido impuesto por el proveedor, en propio beneficio.
1.6. ¿Qué persona debe firmar el documento?
El contrato debe ser firmado o aceptado por una persona con capacidad de vincular a la empresa o empresario individual, con su proveedor. Puede ser el propietario o titular, administrador, gerente, o cualquier otra persona con capacidad para realizar la vinculación, bien por motivos del cargo que ostenta o porque lo haga por encargo de un superior.
2. ¿Cuáles son las partes? ¿Quién es el responsable y quién el encargado del tratamiento?
2.1 Definiciones
El Reglamento General de Protección de Datos tiene las siguiente definiciones, que en sí son bastante claras:
Artículo 4 RGPD:
7) «responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento;
8) «encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento;
2.2. ¿Quién soy yo?
Depende de la posición que ostente en cada momento. Así en plan rápido:
- El responsable suele ser el cliente de la prestación del servicio.
- El encargado suele ser el prestador/proveedor de servicios.
- También existe el subencargado: el proveedor que presta servicios al encargado, y durante los cuales tiene o podría tener acceso a los datos de los que es responsable jurídicamente, el responsable.
2.3. Si usted es responsable, tiene la obligación de SOLO contratar encargados que cumplan con la normativa de protección de datos.
OJO: El artículo 28.1. dice textualmente (y su inclumplimiento es una infracción grave de la LOPD 3/2018):
El responsable «…elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.
3. ¿Qué contenido mínimo debe tener el contrato?
El contrato de protección de datos tiene un contenido mínimo definido por el artículo 28 RGPD, en particular su número 3. Si un contrato no lo tiene todo, podemos decir que o no es válido, o está incompleto.
Ahora bien, la nueva LOPD 3/2018, incluye algunas aclaraciones que deberán ser tenidas en cuenta durante el desarrollo y finalización del contrato.
3.1 El contrato debe contener conforme a lo que dispone el artículo 28 del RGPD lo siguiente:
- Objeto, duración, naturaleza y finalidad del tratamiento de datos que se encarga.
- Tipo de datos personales tratados
- Categorías de interesados de los que el encargado tratará datos directa o indirectamente.
- Obligaciones y derechos del responsable.
- Reglas para la subcontratación de servicios.
- Las obligaciones del encargado. Estas se listan de forma particular, y son:
- Tratar los datos solo siguiendo instrucciones del responsable
- Garantizar que el personal que tratará los datos está formada en protección de datos y respetará el deber de confidencialidad.
- Aplicará las medidas de seguridad técnicas y organizativas que resulten de la evaluación de riesgos que le corresponde.
- No acudirá a otro encargado sin informar y ser autorizado por el responsable.
- Asistir al responsable en el ejercicio de derechos (o no, según contrato).
- ayudar al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36.
- Suprimir o devolver los datos personales una vez finalice la prestación de los servicios. Con excepciones según obligaciones legales.
- Poner a disposición del responsable información para demostrar el cumplimiento de las obligaciones establecidas en el art. 28 RGPD.
3.2. Otros contenidos frecuentes, y algunos a los que hay que estar atento.
La AEPD tiene una guía con directrices para elaborar contratos entre responsables y encargados, y contiene una plantilla que está siendo muy utilizada y que contiene contenidos adicionales tales como:
- La obligación de llevar el registro de actividades de tratamiento que se realizan como encargado.
- Una lista de medidas de seguridad conforme el art. 32 RGPD
- Toda la información sobre violaciones y brechas de seguridad
- Obligaciones del responsable: en las que incluye la realización de las Evaluaciones de impacto en la privacidad cuando sean necesarias, la supervisión del encargado, etc.
- Destino de los datos, en los que se incluye la opción de pasarlos a otros encargados.
5. ¿Qué consecuencias tiene no formalizar el contrato de protección de datos?
La no formalizacion del acuerdo de encargo de tratamiento de datos es infracción de la normativa de protección de datos. En España esta tipificada en la nueva LOPDgdd como:
Infracciones grave. Artículo 73:
«j) La contratación … de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas…»
«k) Encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito conforme el artículo 28.3 RGPD»
«l) La contratación por un encargado … de otros encargados sin contar con la autorización previa del responsable, o sin haberle informado sobre los cambios producidos en la subcontratación cuando fueran legalmente exigibles.» (Subcontratación)
m) La infracción por un encargado de lo dispuesto en el RGPD y en la LOPD, al determinar los fines y los medios del tratamiento…»
Infracción muy grave. Art. 74:
«j) Que el encargado no comunique al responsable acerca de la posible infracción por una instrucción recibida de este de las disposiciones del RGPD…»
«k) El incumplimiento por el encargado de las estipulaciones impuestas en el contrato o acto jurídico que regula el tratamiento o las instrucciones del responsable del tratamiento, salvo (varios)»
6. Beneficios. Además de cumplir con el RGPD y la LOPD.
El contrato de protección de datos no solo da cumplimiento a la normativa en cuestión, además es una forma de definir las responsabilidades entre las partes.
En muchas ocasiones, por desgracia, este el único documento que recoge de forma escrita y formal los servicios prestados, las obligaciones, y aunque parezca extraño, la responsabilidad y titularidad de los datos.
Para muchas pymes y profesionales cumplir con esta obligación es una salvaguarda ante sus prestadores de servicio que ahora ven como el RGPD en su artículo 28 por fin exige a los encargados, más responsabilidad y definición de obligaciones.
Conclusiones
Formalizar el acuerdo de tratamiento de datos es una obligación legal de todos los responsables (empresas, ongs, asociaciones, comunidades de propietarios, profesionales, empresarios individuales, fundaciones, etc.) que subcontraten servicios durante los cuales el proveedor acceda a datos personales de su responsabilidad.
Por otro lado, su cumplimiento beneficia la formalización de acuerdos y responsabilidades de las partes, y es un punto de agarre y defensa entre las mismas.
En Dataseg te ofrecemos nuestro servicio de consultoría y asesoramiento en materia de protección de datos, estaremos encantados de echarle una mano con este y otros temas de su interés.