Muchas organizaciones consideran los contratos de encargo del tratamiento como un mero trámite legal exigido por el RGPD, más que como una herramienta para garantizar el cumplimiento adecuado de la normativa y la protección de los datos personales.
El artículo 28(3) del RGPD establece que los responsables del tratamiento deben formalizar contratos con aquellos proveedores que tratarán datos personales por cuenta del responsable. Ahora bien, estos contratos no deben ser vistos como una mera formalidad o un check de cumplimiento, sino un acuerdo vinculante que define las obligaciones y responsabilidades del encargado (así como del propio responsable del tratamiento).
Sin embargo, en la práctica, muchas organizaciones optan por utilizar plantillas estándar para estos contratos, realizando modificaciones mínimas en apartados como los datos identificativos del prestador de servicios, los servicios a prestar y los tipos de datos personales involucrados.
El uso de plantillas estándar para contratos de encargo, aunque pueda parecer una solución eficiente y práctica, puede representar un riesgo significativo tanto para los interesados (vulneración de derechos, exposición a daños, etc.) como para la organización que actúa como responsable del tratamiento (sanciones legales, daño reputacional o responsabilidad civil). Esta práctica puede conducir a la generalización de aspectos críticos del contrato, lo que puede resultar en una actuación incorrecta del proveedor, ya sea por omisión o desconocimiento. Esto puede traducirse en la implementación de medidas de seguridad insuficientes o inadecuadas, una gestión ineficiente de las violaciones de seguridad o una falta de control y supervisión de los subencargados.
El problema puede haber surgido a raíz de la publicación, por parte de la Agencia Española de Protección de Datos (AEPD), de las Directrices para la elaboración de contratos entre responsables y encargados del tratamiento (en adelante "las Directrices").
Algunas organizaciones interpretaron estas directrices como un modelo a seguir al pie de la letra, sin adaptarlas a las circunstancias específicas de su tratamiento de datos, creando y utilizando plantillas genéricas propias one size fits all (seguramente bajo la falsa creencia de que la AEPD no podrá sancionarlos por seguir estrictamente sus indicaciones).
Ahora bien, como las propias Directrices indican (tanto al principio del documento como en el ANEXO I), éstas tienen un carácter orientativo y deben adaptarse a las circunstancias concretas del tratamiento que se lleve a cabo.
A continuación, se detallan puntos clave que deben considerarse al establecer la relación entre el responsable y el encargado del tratamiento, así como recomendaciones adicionales a las contenidas en las Directrices.
Objeto del encargo del tratamiento
- Identificación completa de las partes: Es fundamental incluir los nombres completos de las personas que formalizan el contrato, asegurándose de que cuentan con poder de representación suficiente para vincular a las partes. Además, se deben añadir los datos de contacto del responsable y del encargado del tratamiento, junto con otra información relevante para la identificación de las partes, como el NIF de las organizaciones.
- Descripción detallada de los servicios: Se debe proporcionar una descripción específica del servicio que el proveedor prestará y el tratamiento de los datos personales que llevará a cabo. Esto incluye detalle sobre las operaciones de tratamiento, su finalidad (el cometido concreto del encargo del tratamiento) y el alcance exacto y los límites de las actividades del encargado. Esto evitará ambigüedades y garantizará que ambas partes comprendan el alcance del tratamiento.
Identificación de la información afectada
- Especificación de los datos personales: El contrato debe detallar qué tipos de datos personales se verán afectados (datos identificativos, datos laborales, datos de salud, etc.), los sistemas de tratamiento (como aplicaciones informáticas, bases de datos, etc.) y los soportes que los contienen (dispositivos de almacenamiento, documentación en papel, etc.), así como especificar los mecanismos mediante los cuales el encargado accederá a esta información (acceso directo a los sistemas del responsable, transferencia de datos por parte del responsable, acceso compartido en plataformas colaborativas, entre otros).
- Recogida de datos por el encargado: Si el prestador de servicios es responsable de recoger los datos personales, es importante especificar qué datos serán recogidos (teniendo en cuenta el principio de minimización) y los métodos de recogida (formularios en línea o papel, entrevistas o encuestas, registros públicos, otras entidades, etc.).
- Clasificación por sensibilidad: Es recomendable clasificar los datos según su sensibilidad. Los datos especialmente protegidos, como los relativos a la salud, orientación sexual o creencias religiosas, deben estar sujetos a niveles adicionales de protección.
Derecho de información
- Derecho de información: En caso de que el proveedor tenga la función delegada de recogida de datos, el contrato debe especificar la información que deberá ser proporcionada a los interesados (según los artículos 13 y 14 del RGPD). Esto incluye detalles como la identidad del responsable, la finalidad del tratamiento, y los derechos de los interesados. Además, el formato de esta información debe adaptarse a los medios utilizados para la recogida de datos (digital, papel, verbal, etc.), debiendo el contrato proporcionar detalles sobre dicho formato.
Respuesta al ejercicio de derechos
- Procedimientos y plazos específicos: Si el encargado tiene la delegación para resolver las solicitudes de ejercicio de derechos (acceso, rectificación, supresión, etc.), el contrato debe especificar los procedimientos y plazos para responder a dichas solicitudes. Se recomienda que el prestador de servicios adopte el mismo procedimiento que el responsable del tratamiento ya ha implementado, para asegurar consistencia y cumplimiento.
Notificación de violaciones de seguridad
- Criterios de notificación: Se recomienda definir criterios sobre qué constituye una violación de seguridad y cuándo debe notificarse al responsable (o, en su caso, a la autoridad de control o a los sujetos afectados), no dejando a la discreción del proveedor valorar lo que supone un riesgo para los derechos y libertades de los interesados. Esto puede basarse en el tipo y el volumen de datos personales afectados, el número de sujetos afectados o el tipo de incidente de seguridad.
Medidas de seguridad
- Adaptación al riesgo: En lugar de copiar y pegar el artículo 32(1) del RGPD, el contrato debe adaptar las medidas de seguridad a los riesgos específicos identificados en la evaluación de riesgos del servicio, ya sea realizada por el responsable o el propio encargado.
- Revisión periódica: El encargado debe tener la obligación de revisar periódicamente las medidas de seguridad implementadas para asegurarse de que siguen siendo efectivas y están actualizadas ante nuevos riesgos o cambios tecnológicos.
Subcontratación
- Definición de servicios auxiliares: Aunque las Directrices sugieren que los servicios auxiliares no se consideran subcontratación del tratamiento de datos, se recomienda que el contrato defina qué se entiende por "servicios auxiliares" y, si es posible, se identifiquen antes del inicio del contrato.
- Obligaciones del encargado: El contrato debe expresar que el encargado del tratamiento debe actuar con la diligencia debida en la elección de subencargados, debiendo elegir únicamente aquellos que ofrezcan garantías suficientes en cuanto a la protección de datos.
Colaboración con el responsable
- Auditorías: Dependiendo de la complejidad del tratamiento, es importante detallar cómo y con qué frecuencia se realizarán auditorías para verificar que el prestador de servicios cumple con sus obligaciones. Esto incluye describir la metodología de auditoría y quién será el responsable de llevar a cabo dichas auditorías.
Destino de los datos
- Devolución o destrucción: El contrato debe especificar cómo se devolverán o destruirán los datos al finalizar la relación contractual, teniendo en cuenta los sistemas y soportes utilizados por el encargado para almacenar dichos datos.
- Conservación de copias: Si el encargado está obligado a mantener una copia de los datos, por razones legales o contractuales, el contrato debe especificar dichos motivos, los tipos de datos conservados, los plazos de retención y las medidas de seguridad que se aplicarán para garantizar que los datos queden bloqueados hasta su completa eliminación.
Además de las recomendaciones anteriores, hay otros aspectos importantes que deberían constar en el contrato de encargo:
Responsabilidad del encargado
- Consecuencias de infracciones: Incluir un apartado que detalle las consecuencias de infracciones contractuales o legales cometidas por el proveedor, junto con los plazos para subsanar dichas infracciones.
Plan de contingencia y continuidad
- Gestión de incidentes: Añadir una cláusula que exija al encargado contar con un plan de contingencia en caso de incidentes que afecten la disponibilidad, integridad o confidencialidad de los datos personales, asegurando así la continuidad operativa.
Nivel de poder de decisión del encargado
- Autonomía operativa: El contrato debe establecer qué nivel de autonomía tiene el encargado en la toma de decisiones (como la implementación de medidas de seguridad o la elección de tecnologías), y dejar claro que sus decisiones deben estar alineadas con las instrucciones del responsable y la normativa aplicable.
Propuestas del encargado y futuras instrucciones del responsable
- Propuestas del encargado: El contrato debe permitir que el prestador de servicios proponga mejoras o sugerencias en relación con el tratamiento de datos. Si se acepta alguna sugerencia, deberá formalizarse y añadirse como parte de las instrucciones documentadas.
- Futuras instrucciones: Incluir un procedimiento para la provisión de nuevas instrucciones por parte del responsable, asegurando que estas instrucciones quedan debidamente registradas y conservadas.
El artículo 82 del RGPD establece que el encargado del tratamiento será responsable de los daños y perjuicios causados únicamente cuando no haya cumplido con las obligaciones que le competen o cuando haya actuado fuera de las instrucciones legales del responsable. Esto resalta la importancia de evitar contratos genéricos que puedan generar ambigüedades e interpretaciones erróneas.
