Con la entrada en vigor del nuevo Reglamento las organizaciones deben adaptarse a los nuevos cambios y uno de los pasos principales a dar en este sentido viene referido a la modificación de la documentación en materia de protección de datos. Aunque en el caso concreto de acceso a datos por cuenta de terceros la esencia sigue siendo la misma, esto es, regularizar el encargo de tratamiento en un contrato en el que se rijan las normas y pautas a las que se comprometen tanto el responsable como el encargado en cumplimiento de la normativa de protección de datos.
Las instrucciones del responsable
Como explicamos en anteriores publicaciones, se debe documentar siempre por escrito el encargo del tratamiento de datos personales. Dicho documento deberá indicar de forma clara y concisa las instrucciones establecidas por el responsable del tratamiento a seguir por el encargado del mismo.
En muchas ocasiones podemos no identificar que estamos ante un encargo de tratamiento de datos personales, bien por desconocer la terminología o bien por centrarnos en el objeto de la prestación del servicio que estamos contratando, que en muchos casos no va destinada exclusivamente a tratar datos personales pero que lleva implícito el tratamiento de dichos datos. En este sentido, por ejemplo, que una empresa externalice el mantenimiento de sus equipos informáticos queda expuesto a que durante la prestación de este servicio de mantenimiento que puede consistir en el acceso remoto en los equipos informáticos se acceda a su vez a datos personales contenidos en los soportes.
El destino de los datos
En cualquier caso, el contrato en virtud del cual se regule el encargo, no debe contener únicamente las pautas a seguir durante la duración del tratamiento, sino que además deberá indicar el destino de los datos al finalizar la prestación del servicio con acceso a datos.
La Agencia Española de Protección de Datos en la publicación de las distintas directrices a seguir en la elaboración de este tipo de contratos establece que hay que prever si, tras la prestación del servicio, el encargado del tratamiento debe suprimir o devolver los datos personales así como cualquier copia existente de los mismos.
Al final, el contrato de encargo debe contener toda la información relativa a cómo proceder respecto a los datos personales en aras de la protección de los mismos y, en suma, proteger los derechos fundamentales de los interesados y afectados por los tratamientos.
Obligación de conservación
Pueden producirse casos en los que exista la obligación de conservar los datos ya sea en virtud del Derecho de la Unión o de los Estados miembros y, por esta razón, deban ser devueltos al responsable. Esta circunstancia también deberá reflejarse en el contrato de encargo, teniendo en cuenta, no obstante lo anterior, que el encargado puede conservar una copia con los datos debidamente bloqueados, mientas puedan derivarse responsabilidades de la ejecución de la prestación.
Para conocer si nuestra organización está obligada a conservar los datos, así como para la elaboración de unos contratos de encargo con nuestros proveedores debidamente cumplimentados, recomendamos contar con una consultoría de protección de datos.