20. CONTRATO DE ENCARGO: SUBCONTRATACIÓN

El nuevo Reglamento europeo (Reglamento General de Protección de datos, en adelante: RGPD) mantiene la esencia de la normativa actual. Concretamente, en lo referente a las relaciones entre responsable de tratamiento y encargado del mismo se debe seguir suscribiendo un contrato de acceso a datos por cuenta de terceros, aunque el contenido exigido pueda variar el fundamento es el mismo. Para facilitar la correcta redacción de este tipo de acuerdos o contratos la Agencia Española de Protección de Datos ha publicado una serie de Directrices para la elaboración de contratos entre responsables y encargados del tratamiento.

 

¿Qué agentes intervienen en un encargo de tratamiento?

Aunque normalmente un encargo de tratamiento de datos de carácter personal consiste en una relación entre el responsable y el encargado, no hay que olvidar que pueden intervenir terceros en el encargo. Estaríamos en el supuesto en virtud del cual el encargado realiza, a su vez, encargos a terceros “subencargados” para cumplir con la finalidad fijada en un primer momento por el responsable del tratamiento.

En estos casos, el acuerdo o contrato de acceso a datos de carácter personal por cuenta de terceros debe establecer el régimen de contratación. Y, además, es preciso tener en cuenta que el subencargado debe estar sujeto a las mismas condiciones y en la misma forma de contracto o acto jurídico vinculante que el encargado del tratamiento respecto al nivel de protección de los datos personales y de las garantías de los derechos de los afectados. Si, atendidas las reglas y condiciones a las que se encuentran sujetos el subencargado incumpliera lo pactado, el encargado inicial seguirá siendo plenamente responsable ante el responsable del tratamiento.

 

Autorización previa por escrito

El nuevo Reglamento considera válida la subcontratación siempre y cuando exista autorización previa por escrito por parte del responsable del tratamiento para que el encargado del mismo pueda delegar en otro encargado (subencargado) la totalidad o parte de los servicios encomendados, cuando este hecho suponga el tratamiento de los datos personales por parte de un tercero.

Si bien el RGPD deja claro desde un primer momento que la autorización de la subcontratación debe ser escrita en todo caso, deja opción a que el contenido de la misma sea específico o genérico.

De este modo, optaremos por una autorización específica si en la misma identificamos a la entidad concreta “subencargada”. Si, por el contrario, la autorización no concreta la entidad y permite la subcontratación en general dicha autorización será igualmente válida que la específica siempre y cuando se cumplen las condiciones que trataremos en el siguiente apartado.

Autorización genérica: requisito

Como acabamos de analizar, el RGPD permite tanto las autorizaciones genéricas como las específicas, siempre que ambas consten por escrito. Sin embargo, en el primer caso, como el responsable del tratamiento no llega a conocer sobre quién se delega el encargo, se deberán cumplir una serie de garantías.

Tal y como indica la Agencia Española de Protección de Datos en las citadas directrices, en los casos de autorización de carácter general, el encargado del tratamiento deberá informar al responsable de la incorporación de un subencargado o su sustitución por otros subencargados, siempre dando al responsable la oportunidad de oponerse a dichos cambios.

En estos casos, la Agencia recomienda establecer en el propio acuerdo o contrato el procedimiento y plazo para que el responsable del tratamiento pueda manifestar su oposición.

Conclusión

Aunque la esencia del contrato entre responsable y encargado sea la misma en cuanto a la subcontratación de todo o parte de los servicios encomendados, se exigirá la adaptación de los contratos ya suscritos a partir de mayo de 2018. Es conveniente contar ya este año con los servicios de una consultoría de protección de datos para que pueda analizar y conocer el estado de cada organización, de tal manera que el proceso de cambio hacia la nueva normativa europea sea correcto y eficaz.

Share: