02 Jul Contrato de encargado de tratamiento de datos
Como hemos visto en numerosas ocasiones en este blog a lo largo de los artículos, tanto la Ley Orgánica de Protección de Datos española (LOPD) como el Reglamento General de Protección de Datos (RGPD) son muy estrictos en cuanto a las medidas necesarias a tomar a la hora de realizar el tratamiento de los datos. En ese sentido, es imprescindible para todas las organizaciones y empresas cumplir con dichas medidas. Y eso pasa también por concretar un contrato de encargado de tratamiento de datos RGPD que cumpla lo exigido.
Contrato de encargado de tratamiento de datos RGPD
¿En qué ocasiones interviene un contrato de encargado de tratamientos? Pues en esas ocasiones en que la empresa responsable de los datos personales de terceros no es la misma que se encargará de tratarlos. Esto no implica que la empresa primaria no los trate nunca. Hablamos de circunstancias en las que determinadas empresas externas deben acceder a los datos personales. Por ejemplo, una gestoría profesional que realiza las tareas de gestión contable de una organización. Para poder realizarlo correctamente debe tener acceso.
Pero no puede ser un acceso libre. Muy al contrario, las normativas vigentes en materia de protección de la confidencialidad de los usuarios y clientes exigen que dicho acceso sea realizado conforme a toda una serie de parámetros. Parámetros que deben quedar recogidos en el contrato de encargado de tratamiento RGPD para cumplir con lo estipulado por dicho reglamento comunitario. De esa forma, puede garantizarse que el acceso de una empresa externa a dichos datos no vulnerará los derechos personales de los usuarios.
Modelo contrato delegado protección de datos
Hemos visto por tanto que el contrato de encargo de tratamiento de datos es uno de los documentos más importantes a la hora de cumplir con la LOPD y el RGPD. En concreto, se trata de un documento firmado por el responsable del fichero de datos personales y encargado del tratamiento. Debe ser un documento escrito para tener validez. Como señalábamos, su finalidad principal es delimitar las condiciones mediante las que el encargado del tratamiento accederá a dicho fichero de datos personales. Un documento indispensable.
En ese sentido, cualquier modelo de contrato de encargado de tratamiento de datos debe incluir requisitos e informaciones similares. Después de todo, los límites vienen establecidos grosso modo por las normativas vigentes. Por supuesto, cada situación, cada responsable del fichero y cada empresa de tratamiento tiene su propia idiosincrasia. Pero lo fundamental es que aparezcan bien establecidos los límites de acceso. Pasa eso mismo con el modelo de contrato de delegado de protección de datos. Es fácilmente extrapolable.
Modelo contrato entre el responsable y el encargado del tratamiento
En nuestro artículo sobre la diferencia entre responsable, encargado y delegado de protección de datos ya vimos que se trata de figuras muy diferentes. En el caso que nos ocupa, el contrato, como apuntamos antes, tiene lugar entre dos primeras figuras. Esto es, entre el responsable del tratamiento y el encargado puntual o recurrente del mismo. La cesión de los derechos de tratamiento sobre los datos de los usuarios va hacia el responsable original. De ahí la necesidad de establecer pautas de tratamiento que defiendan a los usuarios.
Lo señalábamos antes: el modelo de contrato entre el responsable y el encargado del tratamiento tiene tal importancia que debemos guardarlo en un lugar seguro. Con copia incluida de ser posible. Después de todo este documento puede servirnos de cara a los titulares de los datos personales para garantizar que nosotros hemos cumplido con nuestras obligaciones RGPD. Una demostración de los principios de accountability, de los que ya hablamos en otro de nuestros posts.