Nuevas reglas para los contratos entre responsables y encargados

Análisis de directrices para la elaboración de contratos entre responsable y encargados del tratamiento según obligaciones del nuevo RGPD.

La semana pasada, en nuestro Blog, nos hicimos eco de la publicación de tres guías por parte de la Agencia Española de Protección de Datos que nos proporcionan mucha información sobre cómo debemos ir implementando el Nuevo Reglamento General de Protección de Datos (Reglamento UE 2016/679). En este Post analizaremos una de ellas, “Directrices para la elaboración de contratos entre Responsables y Encargados del Tratamiento”.

En primer lugar, el documento viene recordándonos algunas de las obligaciones que ya se venían aplicando en la legislación anterior.

  • Por una parte, los Responsables tienen el deber de diligencia para la elección del Encargado, proponiendo como prueba de que el encargado ofrece garantías, la adhesión a los códigos de conducta o tener un certificado de protección de datos.
  • Por otra parte el encargado no puede variar las finalidades y los tratamientos más allá de lo que se establezcan en el contrato.

¿Qué novedades del Reglamento encontramos en esta guía?

  • Hay ciertos aspectos que ya no se podrán dejar en el aire con respecto a la elaboración del contrato, ahora se deberá establecer de forma clara, quién atenderá las solicitudes del ejercicio de los derechos de los interesado. Puede gestionarlas directamente el Encargado o bien solo se limitará a comunicar al Responsable el ejercicio del derecho.
  • Asimismo se deberá indicar el destino final de los datos tras acabar con la relación entre el responsable y el encargado. Ya no podrá quedar abierta la opción de suprimir o devolver los datos, se debe escoger una de las dos.
  • Sabemos, que el nuevo Reglamento tiene un ámbito de aplicación territorial más extenso, ya que se aplicará a todos los responsables que recojan o traten datos de cualquier interesado que se encuentre dentro de la Unión Europea, aunque el responsable no se ubique en un Estado Miembro. Aplicando la misma regla, el Reglamento vinculará a todos los encargados, independientemente de su ubicación o del lugar donde se realice el tratamiento, siempre que los interesados sean residentes de la Unión, se oferten bienes o servicios o se controle su comportamiento en el espacio comunitario.
  • Se permite que la relación entre Responsable y Encargado se plasme en un acto jurídico unilateral del responsable del tratamiento, solo si vincula realmente al Encargado. Esto se podrá dar en situaciones en las que la Administración Pública emita alguna resolución o dictamen, pero para la mayoría de las empresas, este no será su caso.
  • En los casos en los que un Responsable externalice las funciones del Delegado de Protección de Datos (DPO), éste tendrá la consideración de Encargado del tratamiento, porque lógicamente deberá poder acceder a estos datos para cumplir con sus obligaciones.
  • Por último, queremos comentar que, si bien es cierto que en este documento se dice que el Reglamento no establece la obligación de informar respecto a la contratación de un encargado del tratamiento, no nos debemos confiar, porque en la Guía para el cumplimiento del deber de informar se explica de forma clara que “es conveniente informar también de la existencia de Encargados de Tratamiento, cuya legitimidad del tratamiento es la ejecución del contrato del encargado, especialmente en los casos en que impliquen transferencias a terceros países”.

Además, y aunque en este documento no se contenga, queremos hacer hincapié en  que con el nuevo Reglamento, los encargados ahora tienen obligaciones propias como:

  1. El deber de mantener un registro de actividades,
  2. Determinar las medidas de seguridad y,
  3. En su caso designar un Delegado de Protección de Datos.

Desde H&A, ya hemos comenzado a aplicar todas estas novedades. Es esencial empezar a implementar todo aquello que se pueda, de forma que la transición al nuevo Reglamento no suponga ningún cambio perjudicial para su organización. Si está interesado en informarse de cómo elaborar un plan personalizado de adaptación, puede ponerse en contacto con nosotros y le asesoraremos en las implicaciones legales que su empresa debe asumir.

Conoce nuestros servicios en
Protección de Datos y Derecho Digital

Eduardo Martínez

Eduardo Martínez

Contenidos relacionados

Más en derecho de las TIC

Comentarios

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Responsable del tratamiento: HERRERO & ASOCIADOS, S.L.

Finalidad del tratamiento: Publicar su comentario sobre la noticia indicada.

Derechos de los interesados: Puede ejercer los derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento, mediante un escrito, acompañado de copia de documento que le identifique dirigiéndose al correo dpo@herrero.es.

Para más información visita nuestra Política de Privacidad.

*Los campos marcados con el asterisco son obligatorios. En caso de no cumplimentarlos no podremos contestar tu consulta.

No hay comentarios