¿Por qué es importante adaptar los contratos de Encargado de Tratamiento al RGPD?
A efectos del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 26 de abril de 2026 ( “RGPD”) su empresa puede tener la consideración de Responsable o de Encargado de Tratamiento. Por ello al analizar sus relaciones contractuales debe saber en qué condición está actuando.
Aunque este blog trata de la figura del Encargado de Tratamiento vamos a mencionar brevemente la diferencia con el Responsable.
Su organización actuará como Responsable del Tratamiento cuando decida los fines y medios del tratamiento. Por ejemplo, será Responsable del Tratamiento respecto a los datos que obtenga de sus clientes.
Sin embargo, si su empresa trata los datos personales por cuenta de otra organización, ya no será el Responsable sino un Encargado de Tratamiento. Esto sucede cuando su empresa es un proveedor que presta un servicio para el que necesita tener acceso a datos personales, como ocurre con una asesoría que realiza las nóminas de los empleados de sus clientes. El Responsable sería el Empleador y el Encargado de Tratamiento la gestoría que utiliza los datos personales para realizar las nóminas.
Cuando su empresa actúe como Responsable de Tratamiento debe tener en cuenta que tiene una responsabilidad a la hora de elegir un proveedor que cumpla con la normativa de protección de datos.
El artículo 28 RGPD regula la figura de Encargado de Tratamiento y requiere que se elija a un Encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del RGPD y garantice la protección de los derechos del interesado.
Por ello, cuando se va a contratar un proveedor no solo es importante verificar que es el adecuado para la prestación del servicio sino que también hay que comprobar que dicho Encargado es cumplidor de la normativa de protección de datos.
Hay diversos medios para verificar la diligencia de un Encargado siendo el más común la realización de una auditoría en materia de protección de datos al proveedor o la comprobación de que el mismo está adherido a un código de conducta o que ha obtenido una certificación relacionada con el cumplimiento de la normativa de protección de datos.
¿Es necesario un contrato escrito?
Las relaciones entre un Responsable y un Encargado de tratamiento deben regularse mediante un contrato escrito, incluso en formato electrónico conforme al apartado 9 artículo 28 RGPD.
Conforme a la anterior ley orgánica de protección de datos ya derogada, se preveía la necesidad de que existiese un contrato de Encargado de Tratamiento, si bien este tenía un contenido diferente al del artículo 28 RGPD. No obstante, la nueva Ley Orgánica 3/2018 de 5 de diciembre de Protección de Datos y garantía de derechos digitales (“LOPD-GDD”) en su Disposición Transitoria Quinta permitió la conservación de los contratos de Encargado de tratamiento otorgados al amparo de la antigua ley durante un periodo transitorio:
“Los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022.
Durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el artículo 28 del Reglamento (UE) 2016/679 y en el Capítulo II del Título V de esta ley orgánica.”
Dado que dicho periodo terminó el 25 de mayo de 2022, es importante que las empresas revisen los contratos con sus proveedores y verifiquen que se han adaptado al RGPD.
¿Cuál es el contenido que tiene que tener un contrato de Encargado de Tratamiento para cumplir con el RGPD?
El contrato debe establecer el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del Responsable. En particular estipulará:
-
Instrucciones del Responsable de Tratamiento, mediante las que se detalle de modo claro y preciso los tratamientos a realizar por parte del Encargado.
-
Obligación de confidencialidad, por la que se establece que las personas autorizadas a tratar datos personales se comprometen a respetar la confidencialidad.
-
Las medidas de seguridad, debiendo comprometerse el Encargado a adoptar todas las medidas de seguridad necesarias teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento.
-
El régimen de subcontratación, ya que el RGPD exige que el Responsable autorice previamente por escrito cualquier acuerdo por el que el Encargado recurra a otro subencargado para desarrollar el servicio encomendado. En caso de incumplimiento del subencargado, el Encargado inicial seguirá siendo plenamente garante ante el Responsable del tratamiento en lo referente al cumplimiento de las obligaciones del subencargado.
-
Derechos de los interesados, debiendo determinarse el modo en el que el Encargado asistirá a los sujetos que soliciten ejercer sus derechos sobre sus datos.
-
Colaboración en el cumplimiento de las obligaciones del Responsable, pues el Encargado debe ayudar al Responsable a aplicar las medidas de seguridad necesarias y a cumplir con sus obligaciones. Es especialmente relevante la obligación del Encargado de notificar las brechas de seguridad al Responsable, debiendo establecerse el plazo para hacerlo.
-
El destino de los datos al finalizar el contrato, debiendo acordarse si los datos serán suprimidos o devueltos al Responsable una vez terminada la relación contractual.
-
Colaboración con el Responsable para demostrar el cumplimiento, ya que el Encargado estará obligado a proveer al Responsable de toda la información que necesite para demostrar el cumplimiento de sus obligaciones en materia de protección de datos, así como a permitir auditorías o inspecciones.
¿Qué consecuencias tiene el incumplimiento?
Cabe destacar que la contratación de un Encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas o no disponer de un contrato de encargo de tratamiento formalizado por escrito con el contenido requerido son infracciones graves conforme al artículo 73 LOPD-GDD y por tanto podrían llevar aparejadas, al amparo del artículo 83 RGPD, multas de hasta 10.000.000 EUR o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.
Además, conforme al artículo 82 RGPD, los perjudicados por el incumplimiento de las obligaciones en materia de protección de datos podrán ejercitar acciones judiciales ante los tribunales competentes para reclamar la indemnización por los daños materiales o inmateriales sufridos. El Responsable o en su caso, el Encargado del Tratamiento solo estará exento de responsabilidad si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios y por tanto si demuestra que ha cumplido sus obligaciones conforme al RGPD.
Patricia Carrera
Letrada Asociada Senior del Área Legal de Devesa y Calvo Abogados