Desde el 25 de mayo de este año, todos los contratos de prestación de servicios, que impliquen el tratamiento de datos por parte de terceros, deben tener en cuenta lo recogido en el artículo 28 del Reglamento General de Protección de Datos (antes se regulaban por el artículo 12 de la Ley Orgánica de Protección de Datos). Pero, ¿qué pasa con aquellos que se suscribieron antes de esa fecha?

El Real Decreto-ley 5/2018, que cuenta con medidas urgentes para adaptar el Derecho español al RGPD, da respuesta a esta pregunta. La norma ha cubierto el vacío que está provocando el retraso de la promulgación de la nueva ley orgánica de protección de datos, y estará vigente hasta que las Cortes aprueben el proyecto de ley (su tramitación parlamentaria sigue pendiente).

Este real decreto ley, que cuenta con catorce artículos, regula aspectos como la inspección en materia de protección de datos, el régimen sancionador o los procedimientos en caso de posible vulneración de la normativa.

La norma hace referencia (capítulo 14) a los contratos de encargado del tratamiento. En este punto, se informa de que aquellos “suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022”. Por tanto, en este último caso, se otorga un plazo de 4 años para ir adecuando los contratos de encargado del tratamiento. Matiza además que, durante este tiempo, cualquiera de las partes puede exigir a la otra la modificación del contrato, con el objetivo de que se adecúe al artículo 28 del RGPD.

El encargado del tratamiento vs. el responsable de tratamiento

Uno de los aspectos importantes es comprender la relación que se establece entre el responsable y el encargado de tratamiento. El responsable de tratamiento determina por qué y cómo se deben tratar los datos personales. Es decir, con qué fines se hace y los medios relacionados con ese tratamiento. Por su parte, el encargado suele ser un tercero (empresa de hosting, gestoría, etc.), pero también puede darse el caso de que, en un grupo de empresas, una de ellas actúe como encargada del tratamiento para otra. El encargado del tratamiento, por tanto, es un prestador de servicio (puede ser una persona, física o jurídica, entidad pública u otro organismo) y, en función del servicio que presta, puede tener acceso a datos personales que maneja el responsable.

Para verlo más claro, podemos poner un ejemplo. Planteemos el caso de una gestoría laboral que trabaja para otra empresa, por ejemplo, una constructora. En este caso, el responsable de tratamiento sería la constructora y el encargado la gestoría. Es la constructora la que indica cuándo un empleado deja de trabajar en la empresa, datos de las nóminas, etc. La gestoría se encarga de gestionar esas nóminas y conserva los datos de los empleados.

Podemos decir que, con respecto a la normativa anterior, las condiciones para la elección de los encargados de tratamiento se han endurecido. En la actualidad, el responsable de tratamiento solo podrá elegir a un encargado que ofrezca las garantías suficientes (medidas técnicas y organizativas adecuadas) para la protección de los datos. De hecho, según el RGPD, en el contrato entre el encargado y el responsable (que deberá constar por escrito), el primero se debe comprometer a adoptar las medidas de seguridad necesarias para cumplir con la normativa de protección de datos. Además, tendrá que ayudar al responsable a cumplir con sus obligaciones (medidas de seguridad a aplicar, notificación de violaciones de seguridad, etc.).

by