902 92 99 26

22. CONTRATO DE ENCARGO: COLABORACIÓN

Con la entrada en vigor del nuevo Reglamento europeo en materia de protección de datos (en adelante, RGPD) la Agencia Española de Protección de Datos ha publicado una serie de guías para ayudar a las organizaciones en la adaptación durante este período transitorio. Especial atención ha recibido la cuestión relativa a cómo remodelar los contratos o documentación en esta materia y, en concreto, qué aspectos deberemos incluir para regular la relación con aquellos terceros que tengan acceso a nuestros datos. Para ello, la Agencia ha publicado una serie de Directrices para la elaboración de contratos entre responsables y encargados del tratamiento.

 

Colaboración en el cumplimiento de las obligaciones del responsable

Vistos en las anteriores publicaciones los requisitos que debe tener un contrato de encargo de tratamiento de datos de carácter personal, no hay que olvidar la mención a la colaboración. Esta colaboración constituye una obligación respecto del contenido del contrato de encargo pues se debe establecer la manera o la forma en que el encargado del tratamiento ayudará al responsable a garantizar el cumplimiento de obligaciones concretas. Dichas obligaciones no son todas las que afectan al responsable del tratamiento, sino aquellas que suponen un compromiso por parte de ambos para garantizar los derechos de los interesados y la seguridad de los datos.

Tanto las actuaciones por parte del responsable, pues decide sobre la finalidad del tratamiento y las instrucciones del mismo, como por parte del encargado que realiza materialmente el tratamiento, afectan al mismo grupo de datos de interesados. Por esta razón, aunque el responsable cumpla con todas las obligaciones, si el responsable no colabora en ese cumplimiento los datos de carácter personal de los interesados pueden correr riegos y, en suma, pueden ver menoscabados sus derechos fundamentales.

 

¿Qué puntos son susceptibles de colaboración?

Del análisis del conjunto de obligaciones del responsable podemos apreciar que no todas afectan al encargado que, al fin y al cabo, debe seguir las instrucciones establecidas por el responsable del tratamiento. Lo que exige el nuevo Reglamento en este punto es colaboración para garantizar el cumplimiento de las obligaciones relativas a la aplicación de las medidas de seguridad correspondientes, la notificación de las violaciones o brechas de seguridad en los datos de carácter personal de los interesados, la realización de evaluaciones de impacto y, en su caso la realización de consultas previas.

Además, como hemos podido comprobar a raíz del análisis del nuevo Reglamento, en un intento más de evitar un sistema de protección de datos rígido y optar por uno más adaptable a las necesidades y riesgos, siendo así más realista y eficaz, nos encontramos con que el cumplimiento de esta obligación dependerá de la naturaleza del tratamiento realizado y a la información que esté a disposición del encargado. Y en este sentido se ha pronunciado la Agencia en la publicación de las citadas directrices.

¿Colaboración o delegación?

Cuando la Agencia en el apartado de colaboración cuya forma debe estar establecida en el contrato de encargo, llama la atención el siguiente inciso: “El responsable puede delegar en el encargado el cumplimiento de estas obligaciones”. Se contemplan así dos posibilidades, en el propio contrato de encargo se podrá optar por establecer la forma en que el encargado deberá colaborar con el responsable en el cumplimiento de las obligaciones o, por el contrario, el responsable puede delegar el cumplimiento de estas obligaciones, sin que exista colaboración.

Puede ser una buena opción para aquellos casos en los que el tratamiento se encargue a una organización que goce de suficiente autonomía y lleve un seguimiento propio y consolidado de la protección de datos personales en sus tratamientos. En este supuesto, ante tratamientos específicos, el responsable vería garantizado el cumplimiento de las obligaciones necesarias sin precisar una relación de colaboración entre responsable y encargado.

En conclusión, cualquiera que sea el tipo de tratamiento de datos personales es necesario garantizar un nivel de protección de los mismos. Esta necesidad se acentúa cuando el tratamiento se delega y ya no depende únicamente del responsable. Es conveniente contar con el apoyo directo y continuado de una consultoría de protección de datos que analice cada caso concreto y detecte las necesidades de cada organización.

Share: