Desde la entrada en vigor del nuevo Reglamento (en adelante, RGPD) la Agencia Española de Protección de Datos ha publicado una serie de Directrices para la elaboración de contratos entre responsables y encargados del tratamiento con la finalidad de facilitar a las organizaciones la labor de adaptación a la nueva normativa europea.
Sin pretender ser exhaustivas, las directrices de la Agencia tienen como objetivo identificar los aspectos más esenciales a tener presentes al establecer la relación responsable – encargado así como orientar y ofrecer recomendaciones para confeccionar este tipo de contrato.
¿Se aplica el RGPD solamente a los encargados europeos?
Del considerando (23) del RGPD se deduce que éste no se aplica sólo a los encargados establecidos en la UE. Así se pronuncia la Agencia en la citada Guía de directrices para regular la relación responsable – encargado, afirmando que el nuevo Reglamento se aplica al tratamiento de datos personales en el contexto de un establecimiento del encargado de la Unión, independientemente de que el mismo tenga lugar en la UE o no.
¿Qué ocurre en los casos en los que el interesado resida en la UE pero el responsable o encargado de tratamiento no está establecido en la Unión? El RGPD es claro, pues también les será aplicable el nuevo Reglamento si se encuentran en alguno de estos casos:
a ) Las actividades de tratamiento están relacionadas con la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si se les requiere su pago.
b) Las actividades de tratamiento están relacionadas con el control de su comportamiento, en la medida en que tenga lugar en la Unión.
¿Existe un régimen especial para la contratación de un encargado no establecido en la UE?
Tanto para los casos en los que el encargado de tratamiento no esté establecido en el territorio de la Unión Europea o que realice e tratamiento fuera del territorio de la Unión, les será de aplicación el nuevo Reglamento. Sin embargo, en ambos casos debemos tener en cuenta que se produce una comunicación de datos de carácter personal a un país que no forma parte de la Unión y, por lo tanto, les será de aplicación la regulación establecida en el nuevo Reglamento europeo para las transferencias internacionales.
Recordemos que, al igual que se exige en la normativa vigente, la transferencia internacional de datos de carácter personal en ningún caso puede implicar una reducción del nivel de protección de esos datos. Para aquellos casos en los que a transferencia de datos se realiza a países sin un nivel de protección adecuado, el responsable de tratamiento deberá acreditar que el encargado está en disposición de ofrecer las garantías adecuadas y, en suma, que los interesados no tengan trabas para solicitar el ejercicio de sus derechos ni para emprender las acciones legales que, de no producirse la transferencia internacional, les corresponderían.
En suma, la esencia de la normativa vigente se mantiene pues las relaciones entre el responsable y el encargado deben formalizarse en un contrato o en un acto jurídico que vincule al encargado respecto a la figura del responsable. Para poder cumplir con las exigencias del nuevo Reglamento recomendamos seguir las Directrices publicadas por la Agencia Española de Protección de Datos y contar con el apoyo directo de una consultoría de protección de datos que pueda elaborar el nuevo contrato de encargo teniendo en cuenta todas las peculiaridades y necesidades de cada organización.