El Reglamento General de Protección de Datos (RGPD) incluye las evaluaciones de impacto en su artículo 35. Los procesos de evaluación de impacto reciben el nombre de EIPD y van ligados a la protección de datos desde el diseño y por defecto. Se trata, en definitiva, de evaluar la necesidad y la proporcionalidad de los riesgos existentes para los datos personales de acuerdo con su tratamiento, aplicando las medidas necesarias.
El contrato de colaboración en el cumplimiento de las obligaciones del responsable
La relación existente entre los encargados del tratamiento y los responsables de los datos siempre deberá estar regulada por un acto jurídico entre ambas partes, que las vincule y que se encuentre regulado. De este modo, dicho contrato regulará la forma en la que se gestione por parte del encargado la información del responsable del tratamiento.
El mencionado contrato deberá incluir lo que se regula en el artículo 28 del RGPD, además de estar realizado por escrito o de manera electrónica indistintamente. La legislación no solo recoge la clase de servicios que se van a llevar a cabo de cara al tratamiento de datos, sino que además, ahora exige que las partes realicen una mayor definición de todos los deberes y de las responsabilidades que solía regular el RGPD.
¿Qué puntos son susceptibles de colaboración en este tipo de contratos?
Con respecto a lo que se ha expuesto hasta ahora, hay diferentes puntos que se deben tener en cuenta en esta clase de contratos, al ser susceptibles de colaboración. El primero de ellos se refiere a las instrucciones del responsable de tratamiento, que son las indicaciones concretas de las partes en relación con los datos del contrato. Por ejemplo, la obligación de informar al responsable de una transferencia internacional de sus datos.
El segundo aspecto a regular es el deber de confidencialidad, que es el compromiso de garantía del encargado del tratamiento. A su vez, se deben tener en cuenta las medidas de seguridad del art. 32 del RGPD. Con respecto a las medidas, se puede hacer referencia a un listado concreto o a un marco general estándar.
Del mismo modo, podría ser necesaria la subcontratación. Si el encargado del tratamiento tiene que realizar una subcontratación de todo o de parte de dicho tratamiento, el responsable deberá estar debidamente informado y la acción deberá quedar debidamente reflejada, siempre por escrito.
En cuanto a la gestión de derechos, encargado y responsable colaborarán en la parte del tratamiento asignada. Mientras que en la parte de la colaboración en el cumplimiento de obligaciones, será necesario que se determine si es o no necesario un proceso de EIPD y cómo se gestionarían las brechas de seguridad, las incidencias, etc.
Por último, hay dos aspectos importantes que también se deben incluir: el destino que tendrán los datos cuando la relación finalice y la demostración del cumplimiento. En el primer aspecto, el contrato deberá hacer referencia a dicha información, teniendo en cuenta el objeto del contrato. Así, deberá indicar si se destruye, si se cede a otro encargado diferente o si se devuelve al propietario.
Además, como se ha señalado, deberá haber una demostración del cumplimiento, que se realizará mediante una colaboración entre el encargado del tratamiento y el responsable. Así, se demostrará que este último está cumpliendo debidamente la normativa. Deberá responder a las peticiones de información que surjan en base a análisis o a auditorías que se realicen.
¿Colaboración o delegación?
La Agencia Española de Protección de Datos (AEPD) realiza un inciso en la manera en la que se debe realizar el contrato de encargo. De este modo, se establece la posibilidad de que el responsable delegue el cumplimiento de las obligaciones contractuales en el encargado de tratamiento.
Por tanto, son dos las posibilidades existentes, y es necesario que se opte por una de ellas en el propio contrato de encargo. El responsable podrá realizar por sí las obligaciones que le son exigibles, o bien, delegarlas, eliminando toda colaboración de la relación contractual.
La delegación es en numerosas ocasiones una buena opción para los casos en los que el tratamiento se encarga a una organización que tiene una autonomía suficiente en materia de protección de datos. Esto es, cuando además es capaz de llegar un seguimiento consolidado y propio en sus tratamientos. Así, el responsable no necesitará tener una relación de colaboración con el encargado para ver garantizado que se cumplan las obligaciones precisas.
La protección de las garantías mencionadas en los contratos de colaboración o en su caso, de delegación, se dará cualquiera que sea el nivel de protección que necesiten los datos. No obstante, la protección debe ser mayor en los casos de delegación del tratamiento.
En conclusión, la obligación de la evaluación de impacto es un concepto que debe entenderse en un contexto de obligación de gestionar los riesgos de forma adecuada de cara a una adecuada responsabilidad proactiva. De este modo, se deberán demostrar que se han llevado a cabo las medidas correctas que puedan garantizar los requisitos que exige el RGPD.
