Cuando hablamos de obligaciones en materia de protección de datos solemos pensar, casi automáticamente, en recoger correctamente el consentimiento de los interesados: que firmen el consentimiento, o que hagan clic en la casilla que dice que han aceptado la Política de Privacidad. Sin embargo, debemos tener en cuenta otras cuestiones como la diferencia entre el encargado del tratamiento de datos y el responsable de los mismos.
Así, cuando recogemos estos datos directamente, podremos gestionarlos, decidir las finalidades y la forma en que los tratamos: seríamos responsable del tratamiento de los mismos.
Sin embargo, como empresa no solo tratamos aquellos datos que recogemos directamente de nuestros clientes, sino que en ocasiones accedemos y tratamos datos personales que no hemos recabado: los datos personales que han recogido nuestros clientes. Cuando esto ocurre, estamos ante un encargado del tratamiento de datos: podrá tratar los datos personales por cuenta y bajo las instrucciones del responsable. Por eso es clave para las empresas contar con servicios de protección de datos ágiles y profesionales.
Es el caso, por ejemplo, de una empresa que preste servicios de asesoría laboral, que tendrá acceso a los datos personales de los trabajadores de sus clientes. O de la empresa que se encargue del mantenimiento de los sistemas y equipos informáticos de otras, que podrá tener acceso a los datos personales de los clientes de sus clientes.
La relación entre el responsable y el encargado del tratamiento de datos
Como responsables del tratamiento, a la hora recurrir a proveedores que, por la naturaleza de los servicios que prestan, puedan acceder a los datos personales, debemos escoger a aquellos que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme a los requisitos del RGPD y garantice la protección de los derechos del interesado.
La relación entre el responsable y el encargado de tratamiento debe estar regulada en un contrato de encargado del tratamiento de datos. Su contenido obligatorio está recogido en el art. 28 del RGPD, que establece que este contrato vinculará al encargado respecto del responsable.
Se establece un contenido mínimo obligatorio para el contrato, que debe regular el objeto, duración, naturaleza y finalidad del tratamiento, tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable.
¿Qué debe estipular el contrato del encargado del tratamiento de datos?
Además de todo lo anterior, el contrato debe estipular, en particular y con claridad, que el encargado del tratamiento de datos:
a) Tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable. De hecho, este es el fin principal del contrato de encargado del tratamiento de datos: documentar las instrucciones de tratamiento de datos personales del responsable al encargado.
b) Garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad, o estén obligadas a ello por ley. Por ejemplo, en el caso de trabajadores propios, que puedan acceder a los datos personales del responsable.
c) Tomará las medidas de seguridad necesarias y previstas en el art. 32 del RGPD.
Este artículo impone al responsable, y también al encargado del tratamiento de datos, la obligación de aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad apropiado al riesgo, que en su caso incluyan:
- La seudonimización y cifrado de los datos personales.
- La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
- La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
- Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
d) No recurrirá a otro encargado del tratamiento de datos sin previa autorización por escrito del responsable del tratamiento. Y en ese caso, firmará con dicho nuevo encargado un contrato de subencargado de tratamiento donde le imponga las mismas obligaciones de protección de datos que en el contrato de encargado.
e) Asistirá al responsable para que éste pueda cumplir con su obligación de responder a las solicitudes de ejercicio de derechos por los interesados.
f) Ayudará al responsable a garantizar el cumplimiento de las obligaciones.
g) Suprimirá o devolverá los datos personales al responsable, a elección de éste, una vez finalizada la relación.
h) Pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones, permitir o contribuir a auditorías e inspecciones.
Un contrato para cada proveedor y riesgo de multas
Este contrato, con el contenido mínimo que hemos indicado, debe constar por escrito y se considera válido en formato electrónico.
Como responsables del tratamiento, debemos contar con un contrato de encargado del tratamiento de datos con todos aquellos proveedores o colaboradores que tengan acceso a datos personales.
Es recomendable hacer una revisión periódica del conjunto de proveedores y colaboradores para comprobar que contamos con el contrato de encargado del tratamiento de datos correspondiente con cada uno de ellos. Más teniendo en cuenta que desde el pasado 25 de mayo de 2022, no resultan válidos los contratos anteriores a la entrada en vigor del RGPD (25 de mayo de 2018).
Finalmente, cabe señalar que encargar la gestión de la información a un tercero, sin la previa formalización de un contrato de encargado del tratamiento de datos con el contenido mínimo que hemos analizado constituye una infracción grave prevista en el artículo 73. k) de la LOPDGDD, y lleva aparejadas multas que van desde los 40.001 € a los 300.000 €.