La protección a los interesados constituye el eje central tanto de la normativa de protección de datos de carácter personal vigente como de la nueva regulación europea. En la redacción de los contratos de encargo también debemos tener en cuenta esta cuestión y, para ello, la Agencia Española de Protección de Datos dedica un apartado en su reciente publicación donde expone las Directrices para la elaboración de contratos entre responsables y encargados del tratamiento.
¿Qué derechos debemos tener en cuenta?
Con el nuevo Reglamento (RGPD) se han introducido nuevos derechos, dejando atrás las conocidas siglas ARCO (derecho de acceso, rectificación, cancelación y oposición). Aunque se mantienen los derechos contenidos en la vigente LOPD (Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal) de cara a 2018 nos veremos obligados a cambiar las referencias a los mismos en toda la documentación e información en materia de protección de datos de carácter personal.
En suma, los derechos de los interesados establecidos en el capítulo III del RGPD son los siguientes: acceso a los datos personales, rectificación, supresión (también conocido como derecho al olvido), limitación de tratamiento, portabilidad de los datos, oposición y a no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).
¿Qué debe contener el contrato de encargo?
En el propio contrato de encargo deberá establecer expresamente la forma de proceder ante las solicitudes de ejercicio de los derechos anteriores. Esto no excluye al encargado del tratamiento, pues pueden dirigirse las solicitudes tanto al responsable como al encargado y, por esta razón, ya desde el nacimiento de la relación jurídica responsable-encargado se debe establecer la forma en la que el encargado del tratamiento asistirá al responsable en el cumplimiento de la obligación de responder a las solicitudes.
El nuevo Reglamento contempla dos opciones: que el propio encargado pueda atender y dar respuesta a las solicitudes de ejercicio de los derechos o, por el contrario, que el encargado al recibir una solicitud únicamente tenga que comunicar dicha circunstancia al responsable del tratamiento para que sea éste y no aquél quien atienda y resuelva la solicitud. En cualquier caso, se deberá expresar así en el contrato de encargo, pues el encargado debe conocer desde el inicio cómo proceder respecto a los derechos en materia de protección de datos cuyo ejercicio le pueda ser solicitado directamente.
¿Cómo proceder: encargado que comunica o que atiende?
Pongamos el caso de una empresa A (responsable de tratamiento) que se encarga de la venta de ropa, externaliza a una empresa B de publicidad (encargado de tratamiento) el envío de su boletín semanal a todos los clientes. El responsable del tratamiento ha recabado los datos de sus clientes y, para la prestación del servicio de publicidad, la empresa B tiene que acceder a los datos de los clientes de la empresa A (nombre, dirección de correo electrónico) para el envío de dicho boletín.
Si optamos por la posibilidad de que el encargado (EMPRESA B) sea quien resuelva las solicitudes de ejercicio de derechos que reciba, el contrato de encargo debe establecer la forma y los plazos para atender las solicitudes.
Si, por el contrario, nos decidimos por el supuesto en el que toda solicitud que reciba el encargado deberá ser comunicada por al responsable (EMPRESA A) sin que pueda por su cuenta dar respuesta a la solicitud, en el contrato de encargo debe establecerse la forma y el plazo en que la solicitud y, en su caso, la información correspondiente al ejercicio del derecho se debe comunicar al responsable del tratamiento.
En todo caso, es conveniente contar con los servicios de una consultoría de protección de datos que nos recomiende, atendiendo al caso concreto de nuestra organización, qué opción es la más adecuada y de qué manera incluirla en el contrato de encargo de tratamiento de datos personales suscrito por los proveedores de servicios con acceso a los mismos.