¿Qué debe contener un contrato de tratamiento de datos personales?

Fecha de publicación
10/12/2019
Autor
INCIBE (INCIBE)
¿Qué debe contener un contrato de tratamiento de datos personales?

El 25 de mayo de 2018, el Reglamento General de Protección de Datos (RGPD) se convirtió en una normativa de obligado cumplimiento para cualquier empresa que realice tratamiento de datos personales en alguno de los estados miembros de la Unión Europea. Desde ese momento, la preocupación por la privacidad aumentó considerablemente. Posteriormente, con la entrada en vigor, el pasado 5 de diciembre de 2018, de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD), podemos decir que la protección de los datos personales ya es una prioridad en cualquier organización. 

Esta preocupación por la protección debe mantenerse e incluso prestarle especial atención cuando la empresa se ve en la necesidad de contratar algún servicio externo, como podría ser un soporte informático, seguridad física de instalaciones, gestoría, servicios cloud, etc. Este hecho, podría implicar la necesidad de estos proveedores externos a acceder a recursos y a datos internos, como información confidencial y corporativa, información personal de clientes y usuarios, aplicaciones, funcionalidades, etc. Por ejemplo, una gestoría que elabore nóminas, deberá contar con todos los datos de los trabajadores, sus datos fiscales, etc. 

Por lo tanto, en la contratación de servicios, para garantizar la seguridad y confidencialidad de la información a la que un tercero pueda acceder, se utiliza lo que se conoce como contratos de confidencialidad o NDA (por sus siglas en inglés de Non-Disclosure Agreement). Un contrato de confidencialidad es aquel en el que se establece la obligación del proveedor de un servicio a respetar el secreto y la confidencialidad de la información a la que tendrá acceso, no pudiendo ser usada para un fin distinto para el que se le ha contratado. 

Además de información y datos confidenciales, otros datos que se protegen mediante este tipo de acuerdos son los datos personales que necesitamos para nuestra actividad, es decir:

O lo que es lo mismo, los datos de nuestros clientes y usuarios como personas físicas, desde su DNI o su correo electrónico, hasta sus datos bancarios y otros datos más sensibles. 

Por esto, si la prestación de un servicio implica algún tipo de tratamiento con estos datos personales, requerirá también, según la LOPDGDD, de la firma entre el responsable (de nuestra parte) y el encargado de este tratamiento (de parte del proveedor) de un contrato, u otro acto jurídico similar, según las directrices de la AEPD para este tipo de contratos. 

Este contrato entre el responsable y el encargado del tratamiento de datos personales, tiene por objetivo delimitar el tratamiento e identificar las garantías de seguridad que el proveedor debe ofrecer y demostrar que son suficientes para el tratamiento en cuestión. El encargado, será quien realice el tratamiento objeto del contrato. Estos tratamientos sobre datos personales o conjuntos de datos personales pueden ser automatizados o no. Algunos tratamientos están identificados en el Artículo 4 del RGPD: recogida, registro, organización, estructuración, conservación, adaptación o  modificación, extracción, consulta, utilización, comunicación por  transmisión, difusión o  cualquier otra  forma  de  habilitación de  acceso, cotejo  o  interconexión, limitación, supresión o destrucción.

¿Cuál es el contenido de un contrato con el encargado del tratamiento?

Como mínimo deberá figurar el objeto, duración, naturaleza y finalidad del tratamiento, el tipo de datos personales, categorías de interesados y las obligaciones y derechos del responsable. Pero además:

Instrucciones del responsable del tratamiento respecto del encargo

En el contrato deberá aparecer de forma clara  y concreta cuáles serán los tratamientos de datos que realizará el encargado del tratamiento, en función del servicio prestado y la forma en que se prestará. Se tendrá especial atención en las comunicaciones a terceros y a las transferencias internacionales de datos si las hubiera.

La garantía del deber de confidencialidad

Se ha de establecer y documentar de forma clara cómo el encargado del tratamiento garantizará que las personas autorizadas para tratar los datos personales se comprometen de forma expresa a respectar la confidencialidad. Esta documentación estará a disposición del responsable del tratamiento.

Las medidas de seguridad

El acuerdo deberá establecer la obligatoriedad por parte del encargado de adoptar todas las medidas de seguridad que sean necesarias para la protección de los datos. Para conseguirlo, deberá realizar el correspondiente análisis de riesgos que determine el tipo de medidas a tomar. En la Guía "Ganar en competitividad cumpliendo el RGPD" te indicamos algunas.

El régimen de la subcontratación

En aquellos casos en los que se realice subcontratación, el RGPD exige la autorización previa y por escrito, del responsable del tratamiento para que el encargado pueda recurrir a otro encargado (subencargado), que quedará sujeto a las mismas condiciones y en la misma forma que el encargado del tratamiento. 

Los derechos de los interesados

El acuerdo debe establecer si le corresponderá al encargado del tratamiento atender y dar respuesta a las solicitudes de los derechos establecidos en el capítulo III del RGPD: acceso, rectificación, supresión, limitación del tratamiento, portabilidad de datos, oposición y a no ser objeto de decisiones individualizadas automatizadas (como la elaboración de perfiles).

Colaboración en el cumplimiento de las obligaciones del responsable

En el contrato figurará cómo el encargado ayudará al responsable a que garantice el cumplimiento de las obligaciones que este tiene relativas a las medidas de seguridad, notificación en caso de fugas de datos que afecten a los interesados y realización de evaluaciones de impacto y consulta previa en los casos de que los tratamientos supongan un alto riesgo para los propietarios de los datos personales. La AEPD publica un listado de tratamientos que requieren evaluación de impacto y una herramienta para realizarlo.

Destino de los datos al finalizar la prestación

Una vez finalice la prestación de los servicios, el encargado del tratamiento deberá proceder a la supresión o a la devolución de los datos personales junto a las copias generadas, al responsable o a quien este designe. El acuerdo debe fijar la forma y plazo para realizar esta devolución o supresión.  

Colaboración con el responsable para demostrar el cumplimiento

En el contrato quedará estipulada la obligación del encargado de poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas. 

Si por algún motivo se vulnera la privacidad en el tratamiento de datos personales, la persona afectada podría presentar reclamaciones, solicitar la tutela efectiva y ser indemnizada por daños y perjuicios. Por su parte, las autoridades podrán investigar y corregir infracciones, ordenando al encargado que facilite información, llevando a cabo auditorías u obteniendo acceso a datos, locales y equipos. Si se considera que la infracción ha sido posible, se podrá sancionar con advertencias. Si se ha infringido el RGPD podría haber apercibimientos, limitaciones temporales o prohibiciones en el tratamiento de datos, la supresión de los mismos o incluso la imposición de multas. 

Por lo tanto, si tu empresa contrata algún servicio externo, establece una serie de medidas de protección que acote sus accesos únicamente a aquellos recursos que sean indispensables para el desarrollo de su actividad. Y, si se van a tratar datos personales de tus usuarios, clientes o de tus empleados, firma un contrato con el encargado tratamiento según indica la AEPD. Ten presente que la protección de los datos personales además de ser una responsabilidad a la hora de evitar sanciones, es un factor diferencial de competitividad a la hora de generar confianza y por tanto, de fidelizar clientes. ¡No puedes jugártela! ¡Protege tu empresa!

Ir arriba