El 25 de mayo de 2022 se cumplió el plazo de vigencia previsto por la Disposición Transitoria Quinta de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales para los contratos de encargado del tratamiento firmados con anterioridad a la entrada en vigor del RGPD, esto es, antes del 24 de mayo de 2018. Hablamos de contratos suscritos de forma indefinida. Durante dicho periodo cualquiera de las partes podía solicitar y exigir a la otra la modificación del contrato a fin de que adaptarlo a los compromisos que exige el artículo 28 del RGPD.
La solución para adaptar los contratos de encargo de tratamiento al RGPD pasaban por suscribir un nuevo contrato, que dejaba el anterior sin efectos, o incorporar una adenda o anexo.
El encargado del tratamiento se define como «la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento» (artículo 4.8 del RGPD). Son ejemplos de encargados del tratamiento los siguientes: la asesoría que se encarga de gestionar las nóminas de su empresa, la empresa que se encarga del mantenimiento informático, los prestadores de servicios en la nube, etc.
No confundan el encargo de tratamiento con la cesión de datos personales. En el primer caso el encargado trata datos personales por cuenta del responsable del tratamiento, mientras que en la cesión de datos, el cesionario trata los datos personales cedidos por su cuenta y riesgo.
El RGPD impone al responsable del tratamiento la obligación de elegir únicamente a encargados que ofrezcan garantías suficientes de haber aplicado medidas de seguridad adecuadas para la protección de datos. Esta evaluación no se limita al momento de la contratación, sino que se realizará periódicamente, aunque la normativa no dice cada cuánto.
Cualquier momento es bueno para evaluar a los encargados de tratamiento con los que uno se relaciona. Lo idóneo es contar con un protocolo, lo más objetivo posible, que se pueda activar cada cierto tiempo para comprobar si son fiables y de fiar.
En ocasiones, la contratación de servicios que implican el acceso a datos se realiza con proveedores «cloud» que nunca atienden a una petición para rellenar un cuestionario. En tales casos, atenderemos a la información pública del proveedor publicada en su sitio web. Debe asegurarse desde dónde se presta el servicio y a dónde irán los datos personales a los que el encargado tendrá acceso. La contratación de encargados fuera de la Unión Europea tiene sus particularidades. Si está ubicado en un territorio considerado adecuado por la Comisión Europea, trataremos al proveedor como si estuviera establecido en la Unión Europea. En caso contrario, debería firmarse alguna de las cláusulas contractuales tipo que propone la Comisión Europea a tal fin. Siendo honestos, no es nada fácil que las devuelvan firmadas.
Los encargados y subencargados para acreditar frente al responsable del tratamiento que cuentan con garantías consideradas suficientes por la normativa de protección de datos pueden adherirse a los «códigos de conducta» regulados en los artículos 40 y 41 del RGPD, si bien son pocos los aprobados por la AEPD. Pueden ampliar la información sobre los códigos de conducta haciendo clic aquí.
Obtenidas las evidencias de cumplimiento, el responsable del tratamiento suscribirá por escrito, inclusive en formato electrónico, con el encargado del tratamiento un contrato individual.
El contrato de encargo de tratamiento podrá basarse, total o parcialmente, en cláusulas tipo. El contenido del contrato o acto jurídico se concreta en el artículo 28 apartado 3 del RGPD, al cual me remito para evitar extenderme en detalles. En todo caso, regulará el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, las obligaciones y derechos de las partes.
Entre las obligaciones de los encargados de tratamiento se encuentran las siguientes:
- Tratar los datos personales de acuerdo a las instrucciones documentadas del responsable.
- Garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar su confidencialidad.
- Adoptar las medidas técnicas y organizativas necesarias para asegurar la información.
- Llevar un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable.
- Asistir al responsable, siempre que sea posible, para que éste pueda cumplir con su obligación de responder a las solicitudes de derechos de los interesados.
- Ayudar al responsable a garantizar el cumplimiento de las obligaciones establecidas en materia de seguridad del tratamiento, notificación de violaciones o brechas de seguridad y elaboración de evaluaciones de impacto.
- Poner a disposición del responsable la información necesaria para demostrar el cumplimiento de las obligaciones anteriores.
- Facilitar la realización de auditorías, incluidas inspecciones, por parte del responsable o un auditor autorizado por éste para asegurar que se han implementado las oportunas medidas de seguridad.
- Cooperar con la autoridad de control, cuando sea requerido para ello.
- Suprimir o devolver todos los datos personales una vez finalice la prestación de los servicios de tratamiento y suprimir las copias existentes, a menos que se requiera la conservación de los datos.
El encargado creará un registro interno por escrito con las actividades de tratamiento que efectúe por cuenta del responsable del tratamiento.
Respecto al registro de las actividades de tratamiento que se efectúe por cuenta del responsable, éste contendrá la siguiente información:
- Nombre y datos de contacto del encargado y subencargados y de cada responsable por cuenta del cual actúe, así como del delegado de protección de datos, en su caso.
- Categorías de datos personales y tratamientos.
- Descripción de las medidas técnicas y organizativas adoptadas para asegurar la información.
- Transferencias internacionales realizadas a un tercer país u organización internacional con mención del destinatario y la documentación de garantías adecuadas.
Subencargados
El encargado no podrá recurrir a otro encargado, al que llamaremos «subencargado», si bien el RGPD se refiere a ellos como «otros encargados», sin la autorización previa y escrita del responsable del tratamiento.
Dicha autorización puede ser general o específica. En el caso de que sea general, el encargado informará al responsable de la incorporación de otro encargado o subencargado, así como su sustitución por otros subencargados, dando al responsable la oportunidad de oponerse a dichos cambios.
Si el subencargado incumple sus obligaciones, el «encargado inicial seguirá siendo plenamente responsable ante el responsable del tratamiento por lo que respecta al cumplimiento de las obligaciones del otro encargado» (artículo 28.4 del RGPD). De modo que, la norma opta por la responsabilidad solidaria, cuya justificación reside en la culpa «in eligiendo».
Conclusión
Piensen qué sentido tiene esforzarse como responsables del tratamiento en proteger los datos personales que trata la organización, si luego no son cuidadosos en la selección de los encargados del tratamiento. No olvide que el responsable responde por el encargado frente al titular de los datos.
—
Actualización
El Tribunal Supremo analiza en su sentencia nº 551/2023, de 19 de abril, la validez de la cláusulas de indemnidad en los contratos de encargo del tratamiento.
El fallo clarifica que las cláusulas de indemnidad en contratos de tratamiento de datos sólo permiten exigir indemnización por sanciones derivadas de incumplimientos del encargado del tratamiento, pero no por los propios incumplimientos del responsable.