Área clientes Área clientes
PROTECCIÓN DATA

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Encargados del tratamiento de datos

El 25 de mayo de 2022 expiró el plazo de vigencia establecido en la Disposición Transitoria Quinta de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), para adaptar los contratos de encargado de tratamiento firmados con anterioridad a la entrada en vigor del Reglamento General de Protección de Datos (RGPD), es decir, antes del 25 de mayo de 2018. Hablamos de contratos suscritos de forma indefinida. Durante dicho periodo cualquiera de las partes podía solicitar y exigir a la otra la modificación del contrato para alinearlo con los requisitos del artículo 28 del RGPD.

La adaptación de los contratos podía realizarse mediante la suscripción de un nuevo contrato que sustituyera al anterior, o a través de una adenda o anexo que incorporara las cláusulas necesarias. Esta flexibilidad facilitaba el cumplimiento sin interrumpir relaciones comerciales existentes, pero requería una revisión exhaustiva para evitar omisiones.

El encargado del tratamiento se define como «la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento» (artículo 4.8 del RGPD). Son ejemplos de encargados del tratamiento los siguientes: asesorías laborales que gestionan nóminas, empresas de mantenimiento informático o proveedores de servicios en la nube.

No confundan el encargo de tratamiento con la cesión de datos personales. En el primer caso, el encargado trata los datos personales siguiendo las instrucciones del responsable del tratamiento, mientras que en la cesión, el cesionario trata los datos personales cedidos por su cuenta y riesgo.

El RGPD impone al responsable del tratamiento la obligación de elegir únicamente a encargados que ofrezcan garantías suficientes de haber aplicado medidas de seguridad adecuadas para la protección de datos. Esta evaluación no se limita al momento de la contratación, sino que se realizará periódicamente, aunque la normativa no dice cada cuánto. Esta obligación se refuerza con el Dictamen 22/2024 del CEPD, que enfatiza la transparencia en la cadena de subencargados para mitigar riesgos en entornos globales.

Cualquier momento es bueno para evaluar a los encargados de tratamiento con los que uno se relaciona. Lo ideal es implementar un protocolo, lo más objetivo posible, que incluya cuestionarios, auditorías y revisión de certificaciones. El protocolo se activará periodicamente para comprobar si son fiables y de fiar. 

En ocasiones, la contratación de servicios que implican el acceso a datos se realiza con proveedores «cloud» que nunca atienden a una petición para rellenar un cuestionario. En tales casos, atenderemos a la información pública del proveedor publicada en su sitio web. Debe asegurarse desde dónde se presta el servicio y a dónde irán los datos personales a los que el encargado tendrá acceso. La contratación de encargados fuera de la Unión Europea tiene sus particularidades. Si está ubicado en un territorio considerado adecuado por la Comisión Europea, trataremos al proveedor como si estuviera establecido en la Unión Europea. En caso contrario, se recomienda la firma de las cláusulas contractuales tipo que propone la Comisión Europea a tal fin.

Los encargados y subencargados para acreditar frente al responsable del tratamiento que cuentan con garantías consideradas suficientes por la normativa de protección de datos pueden adherirse a los «códigos de conducta» regulados en los artículos 40 y 41 del RGPD, si bien son pocos los aprobados por la AEPD. Pueden ampliar la información sobre los códigos de conducta haciendo clic aquí.

Obtenidas las evidencias de cumplimiento, el responsable del tratamiento debe formalizar un contrato escrito, inclusive en formato electrónico, con el encargado. La AEPD nos proporciona unas directrices para la elaboración de contratos entre responsables y encargados del tratamiento. Como anexo nos proporciona un ejemplo de cláusulas contractuales para supuestos en que el encargado del tratamiento trate los datos en sus locales y exclusivamente con sus sistemas. 

El contenido del contrato o acto jurídico se concreta en el artículo 28 apartado 3 del RGPD, al cual me remito para evitar extenderme en detalles. En todo caso, regulará el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, las obligaciones y derechos de las partes.

Entre las obligaciones de los encargados de tratamiento se encuentran las siguientes:

  • Tratar los datos personales de acuerdo a las instrucciones documentadas del responsable.
  • Garantizar que las personas autorizadas para acceder tratar a los datos se hayan comprometido a respetar su confidencialidad, mediante acuerdos de no divulgación o cláusulas contractuales.
  • Implementar medidas técnicas y organizativas adecuadas para asegurar un nivel de seguridad apropiado al riesgo.
  • Mantener un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable.
  • Asistir al responsable, en la medida de lo posible, en el cumplimiento de las solicitudes de ejercicio de derechos por parte de los interesados.
  • Colaborar con el responsable para garantizar el cumplimiento de obligaciones establecidas en materia de seguridad del tratamiento, notificación de violaciones o brechas de seguridad y elaboración de evaluaciones de impacto.
  • Poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones anteriores.
  • Facilitar auditorías e inspecciones por parte del responsable o un auditor designado, incluyendo acceso a instalaciones y documentación relevante.
  • Cooperar con la autoridad de control, cuando sea requerido.
  • Al finalizar la prestación de servicios, suprimir o devolver todos los datos personales, eliminando copias existentes, a menos que la legislación exija su conservación.

El encargado debe crear y mantener un registro interno por escrito con las actividades de tratamiento que efectúe por cuenta del responsable del tratamiento. Dicho registro debe contener la siguiente información:

  • Nombre y datos de contacto del encargado y subencargados y de cada responsable por cuenta del cual actúe, así como del delegado de protección de datos, en su caso.
  • Categorías de datos personales y tratamientos.
  • Descripción de las medidas técnicas y organizativas adoptadas para asegurar la información.
  • Transferencias internacionales realizadas a un tercer país u organización internacional con mención del destinatario y la documentación de garantías adecuadas.

Subencargados

El encargado no puede recurrir a otro encargado, al que llamaremos «subencargado», si bien el RGPD se refiere a ellos como «otros encargados», sin la autorización previa y escrita del responsable del tratamiento. Esta autorización puede ser general o específica. Si es general, el encargado informará al responsable de la incorporación de otro encargado o subencargado, así como su sustitución por otros subencargados, dando al responsable la oportunidad de oponerse a dichos cambios.

Si el subencargado incumple sus obligaciones, el «encargado inicial seguirá siendo plenamente responsable ante el responsable del tratamiento por lo que respecta al cumplimiento de las obligaciones del otro encargado» (artículo 28.4 del RGPD). De modo que, la norma opta por la responsabilidad solidaria, cuya justificación reside en la culpa «in eligiendo».

Conclusión

Piensen, qué sentido tiene esforzarse como responsables del tratamiento en proteger los datos personales que trata nuestra organización, si luego no somos diligentes en la selección de los encargados del tratamiento.

Recuerden que el responsable del tratamiento responde solidariamente por las acciones del encargado y subencargados ante los titulares de los datos y la autoridad de control.

Actualización

El Tribunal Supremo analiza en su sentencia nº 551/2023, de 19 de abril, la validez de la cláusulas de indemnidad en los contratos de encargo del tratamiento.

El fallo establece que las cláusulas de indemnidad en contratos de tratamiento de datos solo permiten exigir indemnizaciones por sanciones derivadas de incumplimientos del encargado del tratamiento, pero no por los propios incumplimientos del responsable. 

No se pierda nuestro podcast sobre el artículo

 

 

Índice de artículos
error: El contenido del blog está protegido por derechos de propiedad intelectual mediante su registro en Safe Creative. Queda prohibida la reproducción, distribución, transformación, transcripción, almacenamiento o recuperación total o parcial de este contenido, sin el permiso previa y expreso del titular de los derechos. La infracción de los derechos puede constituir un delito contra la propiedad intelectual (artículo 270 y ss. del CP). Para requerir la autorización pueden dirigirse al titular enviando un correo electrónico a info@protecciondata.es