Tiempo de actualizar nuestros contratos de encargo de tratamiento

La entrada en vigor del RGPD y la LOPDGDD ha supuesto un gran esfuerzo a las empresas de actualización de sus procedimientos internos de trabajo. Todas las áreas corporativas han tenido que hacer una radiografía para revisar los procesos de negocio que manejan datos de carácter personal para registrarlos formalmente en el Registro de Actividades del Tratamiento, se ha repasado el clausulado de formularios, cuestionarios y cualquier otra forma de recogida de datos para proceder a la actualización de la información y en su caso de los consentimientos para el tratamiento, así como garantizar los nuevos ejercicios de derechos, etc.

La actualización también ha llegado a los departamentos con capacidad de contratación de proveedores. Las empresas han comenzado a intercambiarse cláusulas actualizadas de información entre los intervinientes o representantes legales de los contratos, y en especial, se está procediendo al cambio del clausulado en las relaciones que supongan un encargo de tratamiento.

Estas tareas de actualización de los encargos de tratamiento se abordan por los responsables de diferente manera según sea su organización en materia de gestión de proveedores. Los asesores en materia de protección de datos nos encontramos en las empresas diferentes formas organizativas que se traducen en: grandes departamentos de contratación, áreas administrativas que llevan la gestión de los contratos, o simplemente, departamentos que tiene capacidad de contratación de proveedores con la simple supervisión y aprobación del contrato por gerencia.

Las empresas nos transmiten las dificultades que tienen en primer lugar para distinguir su posición jurídica de responsable o encargado, y, en segundo lugar, una vez sabemos si se debe firma o suscribir un contrato de encargo de tratamiento, la dificultad de cumplimentar el clausulado para cumplir con los requisitos del artículo 28 del RGPD.

No siempre un departamento de contratación es el que elige al proveedor, sino que tiene que trabajar sobre un contrato que ya le viene negociado desde el área que demanda el servicio, es decir, el área que dispone de los aspectos técnicos del servicio en los cuales vamos a tener los elementos para poder confeccionar una buena cláusula de encargo de tratamiento en la que se contemplen: el objeto del encargo, los colectivos a los que afecta, las estructuras de datos a tratar y tipo de tratamientos, el tipo de tecnología o medios que se van a utilizar y demás obligaciones de las partes firmantes: responsable y encargado.

Además, debemos tener en cuenta las medidas de seguridad aplicables al tratamiento de esos datos por un tercero, las cuales deben ser dirigidas desde los responsables de la protección de datos en la entidad en relación con los riesgos.

También, ante el tipo de servicio contratado, se ha de tener en cuenta en su caso llevar cabo un análisis de necesidad que nos permita determinar si procede o no una evaluación de impacto previa.

Todo lo expuesto aquí son elementos para tener en cuenta por los responsables de protección de datos en materia organizativa, que les permitan poner en marcha procedimientos encaminados al intercambio de información entre las áreas implicadas en la firma de un contrato que suponga un encargo de tratamiento y que permitan perfeccionar una cláusula ajustada a derecho y que contenga todos los elementos de seguridad y responsabilidad exigibles entre las partes firmante.

Recordar también a los responsables que la LOPDGDD nos ha dado unos plazos en su Disposición Transitoria Quinta que determina que, los contratos de encargo de tratamiento suscritos antes de del 25 de mayo de 2018 al amparo de la anterior normativa mantendrán su vigencia hasta su vencimiento teniendo como límite el 25 de mayo de 2022, en la que todos los contratos deberán estar actualizados a la normativa. Durante estos plazos cualquiera de las partes puede exigir a la otra la modificación de los contratos a fin de que resulte conforme con lo dispuesto en el artículo 28 del Reglamento (UE) 2016/679 y en el Capítulo II del Título V de esta ley orgánica.

El contador de plazo está activado y se recomienda a los responsables desde nuestra experiencia como asesores, poner en marcha planes internos de revisión y renovación de los contratos de encargo de tratamiento, dándoles prioridad a aquellos que supongan tratamientos de datos sensibles, y aquellos contratos cuyo soporte pueda ser crítico para el negocio de que se trata.

María Victoria López Carnevali

vcarnevali@helasconsultores.com