En Letslaw continuamos con el compromiso de informar sobre la entrada en vigor del nuevo Reglamento de Protección de Datos y como afecta a la redacción de nuevos contratos RGPD. Son muchas las novedades que esta regulación conlleva en nuestro ordenamiento jurídico, y ya hemos hablado sobre cómo implantarlo y las diferencias con la LOPD. Ahora nos vamos a aproximar a las novedades en materia contractual.

Contrato Responsable – Encargado

El nuevo Reglamento General de Protección de Datos (en adelante, RGPD) mantiene que las relaciones entre responsable del tratamiento y el encargado vengan recogidas en un contrato o acto jurídico, que contenga, con carácter general: (i) el objeto, (ii) la duración, (iii) la naturaleza del tratamiento, (iv) la finalidad del tratamiento, (v) el tipo de datos personales, (vi) las categorías de interesados y (vii) las obligaciones y derechos del responsable.

El principio de cumplimiento normativo o accountability se ha visto reforzado en la reforma legislativa europea, convirtiéndose en uno de los principios centrales de la misma. Esto ha provocado que se lleve a cabo un mayor control de las relaciones responsable del tratamiento y encargado.

Contenidos mínimos

Esta relación es objeto de un estudio más particularizado en el RGPD, recogiendo una serie de contenidos mínimos indispensables, a parte de los mencionados anteriormente:

  1. El responsable debe detallar las labores de tratamiento del encargado y este debe limitarse a cumplir esas instrucciones.
  2. Se debe recoger la obligación de confidencialidad de todas las personas físicas autorizadas a acceder a los datos.
  3. Se deben detallar las medidas de seguridad apropiadas para garantizar la seguridad de los tratamientos por parte del encargado.
  4. Se debe hacer referencia expresa a la permisión o prohibición de recurrir a sub-encargados, que en todo caso solo se podrá realizar bajo el consentimiento del responsable y previa firma de contrato.
  5. El encargado debe asistir al responsable, en la medida de los posible, en las obligaciones derivadas del ejercicio de derechos por parte de los usuarios.
  6. La ayuda del encargado al responsable en materia de cumplimiento de obligaciones en materia de seguridad y evaluaciones de impacto.
  7. El contrato debe recoger las consecuencias de la decisión de finalizar la relación contractual, en especial si el encargado deberá suprimir o devolver los datos, obligación condicionada siempre a lo que establezca la normativa nacional y europea sobre su conservación.
  8. El encargado debe poner a disposición del responsable toda la información que sea precisa para el cumplimiento de las obligaciones.

Cláusulas tipo

El Reglamento habilita la posibilidad de que tanto la Comisión Europea como las Autoridades de control nacionales puedan redactar cláusulas contractuales tipo.  Estos modelos son de uso voluntario y pueden ser usados como base, de modo que pueden ayudar de forma significativa a simplificar el tráfico jurídico y evitar así sanciones. La Agencia Española de Protección de Datos hizo lo propio y publicó su guía de contratos donde figuran directrices para la elaboración de contratos ente responsables y encargados del tratamiento, adaptadas al contenido del nuevo RGPD.

Letslaw

Desde Letslaw acompañamos a nuestros clientes en el proceso de adecuación de los contratos para cumplir con la normativa europea. Somos especialistas en protección de datos y contamos con las competencias profesionales y experiencia exigibles por el nuevo Reglamento.

Si quieres saber más información o tienes cualquier duda puedes contactarnos a admin@letslaw.es o en el 914 323 772.