¿Necesitas un modelo contrato encargado de tratamiento RGPD? El Reglamento General de Protección de Datos regula las relaciones entre el responsable del fichero y el encargado del tratamiento en los artículos 24 y siguientes de esta normativa.

En este sentido, conviene primero de todo dejar claro qué es un encargado del tratamiento y cuál es su función principal a efectos de protección de datos.

¿Qué es el encargado de tratamiento y cuáles son sus funciones?

El encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que presta un servicio al responsable que conlleva el tratamiento de datos personales por cuenta de éste.

Es decir, tradicionalmente el encargado del tratamiento ha sido considerado como todo aquel proveedor de servicios que tiene acceso a la base de datos del responsable del fichero, y trata dichos datos en su nombre, pudiendo haber tantos encargados como tipos de proveedores con acceso a datos de carácter personal.

Para poder distinguir la figura de un encargado del tratamiento respecto de la del responsable, debemos tener en cuenta que corresponde al responsable decidir sobre la finalidad y los usos de la información, mientras que el encargado del tratamiento debe cumplir con las instrucciones de quien le encomienda un determinado servicio, respecto al correcto tratamiento de los datos personales a los que pueda tener acceso como consecuencia de la prestación de este servicio.

Sobre los tipos de tratamiento que puede llevar a cabo un encargado, es necesario tener en cuenta que éste puede realizar todos los tratamientos, automatizados o no, que el responsable del tratamiento le haya encomendado formalmente. La definición de tratamiento nos permite concretarlos atendiendo al ciclo de vida de la información: recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

Lo importante en cuanto a los tipos de tratamientos será que el encargado y el responsable dejen claramente identificadas las tipologías de tratamiento en el acuerdo que suscriban ambas partes.

¿Cómo han de gestionarse las relaciones entre el responsable y el encargado de tratamiento?

Las relaciones responsable-encargado deben de establecerse a través de un contrato o de un acto jurídico similar que los vincule. El contrato o acto jurídico debe constar por escrito, inclusive en formato electrónico.

Será posible regular esta relación a través de un acto jurídico unilateral del responsable del tratamiento conforme a lo previsto en el RGPD. En cualquier caso debe, tratarse de un acto jurídico que establezca y defina la posición del encargado del tratamiento, siempre y cuando ese acto vincule jurídicamente al encargado del tratamiento.

Directrices para la elaboración de contratos

Las directrices para la elaboración de los contratos entre el responsable y el encargado deben encontrarse tanto en el Reglamento General de Protección de Datos, como en la normativa nacional de cada estado miembro en esta materia, así como en las guías e instrucciones facilitadas por cada autoridad nacional de control.

Concretamente en España, la Agencia Española de Protección de Datos ha publicado la guía denominada “Directrices para la elaboración de contratos entre responsables y encargados del tratamiento”, en la cual pueden encontrarse las instrucciones orientativas a seguir en relación con la formalización de este contrato.

Como mínimo, el contrato deberá establecer el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable, sin perjuicio de toda una serie de pautas y directrices que deben seguir el responsable y el encargado para cumplir adecuadamente con el RGDP.

Letslaw es un despacho especializado en protección de datos, Internet y nuevas tecnologías.