Con la entrada en vigor del nuevo Reglamento una de las principales cuestiones que se ha planteado ha sido la referida a los cambios que se tendrán que realizar para adaptar nuestra documentación LOPD a la nueva realidad europea. En este sentido se pronuncia a Agencia Española de Protección de Datos (AEPD) al tratar el contenido mínimo de un contrato de encargo de tratamiento de datos personales.
¿Cuál es la diferencia entre un responsable de tratamiento y un encargado?
El punto de partida para comprender el contenido a incluir en nuestros contratos de acceso a datos por cuenta de terceros es saber diferenciar estas dos figuras. La diferencia fundamental radica en el hecho de que un responsable de tratamiento es quien decide la finalidad, el destino de esos datos ¿para qué se van a recoger esos datos personales? De esta manera, una empresa obtiene datos personales de sus trabajadores y, al decidir sobre la finalidad, es responsable de tratamiento. En el momento en que dicha empresa encarga el tratamiento a un tercero (por ejemplo, a una asesoría laboral a la que se encarga la gestión de las nóminas de los empleados) nos encontramos frente a esas dos figuras: la empresa responsable y la “asesoría” encargada.
¿Cuál es el contenido mínimo de un acuerdo o acto de encargo del tratamiento?
Tal y como afirma la AEPD en la publicación de Directrices para la elaboración de contratos entre responsables y encargados de tratamiento “Como mínimo debe establecerse el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, las obligaciones y derechos del responsable”
El responsable de tratamiento debe documentar todas las instrucciones relativas al encargo realizado. Sobretodo identificar de forma concreta cada uno de los tratamientos de datos a realizar por el encargado de tratamiento, teniendo en cuenta el tipo de servicio prestado y la manera en que va a prestar ese servicio.
Esta obligación de incorporar las instrucciones en el propio contrato de encargo deberá incluir las comunicaciones de datos personales que el encargado realice con terceros, bien porque lo exija el responsable o bien porque del propio servicio se deriva esa necesidad. Del mismo modo deberemos proceder en los casos de las transferencias internacionales de datos que puedan producirse como consecuencia de la prestación del servicio.
En la elaboración de estos contratos se tendrá que seguir incluyendo la cláusula de confidencialidad pero, con el nuevo Reglamento, se añade la exigencia de documentar dicha obligación de confidencialidad, quedando a disposición del responsable del tratamiento. En suma, es preciso establecer la forma en que el encargado del tratamiento garantizará que las personas autorizadas para realizar los tratamientos de datos personales se han comprometido expresamente a respetar la confidencialidad.
En las siguientes publicaciones nos seguiremos centrando en el contenido de este tipo de contratos para explicar paso a paso los requisitos del nuevo Reglamento (RGPD) para comprender y saber elaborar su contenido. Con la finalidad de garantizar un análisis adecuado de las necesidades de cada organización recomendamos contar con el apoyo de una consultoría de protección de datos.
