Problemas con los encargados de tratamiento de nuestros datos

Ha día de hoy han pasado ya cinco meses de la entrada en vigor del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo,  de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales, y aún siguen quedando muchos flecos sueltos para cumplir con este reglamento.

Uno de los principales problemas que nos trasladan nuestros clientes es la dificultad para conseguir que determinados Encargados del Tratamiento, que les prestan servicio, les firmen los diferentes contratos y acuerdos de confidencialidad.

Debemos comenzar recordando que somos nosotros los responsables del tratamiento de los datos, que los tenemos por una finalidad propia y que debemos velar por los mismos. Se entiende por Responsable del Tratamiento la persona física o jurídica que determina los fines y los medios del tratamiento de los datos personales, ya sea porque existe un mandato legal explícito o implícito (en el marco de una relación jurídica o el tráfico mercantil), o con motivo de una obligación contractual.

Por el contrario, se entiende Encargado del Tratamiento la persona física o jurídica que presta un servicio al responsable, y que conlleva el tratamiento de datos personales por cuenta de éste. Por tanto dicho tratamiento no obedece a una finalidad e interés propios sino del Responsable del Tratamiento, quien debe elegir un encargado del tratamiento que ofrezca garantías suficientes respecto a la implantación y el mantenimiento de las medidas técnicas y organizativas apropiadas, de acuerdo con lo establecido en el RGPD, y que garantice la protección de los derechos de las personas afectadas.

Desde el punto de vista de las obligaciones de la normativa sobre protección de datos, y de la responsabilidad proactiva que asumimos con este Reglamento, somos los Responsable del Tratamiento quien debemos desarrollar las condiciones que garanticen el respeto de los principios y derechos de los afectados. Para ello se debe de firmar un contrato por escrito con el Encargado del Tratamiento que delimite los datos a los que éste tiene acceso, la finalidad de éste, las medidas de seguridad aplicables y una serie de limitaciones y garantías destinadas a que los datos no se utilicen con un objeto distinto de la prestación del servicio por cuenta del Responsable. Así de cristalino lo deja el artículo 28 punto 3 del citado Reglamento.

Hay numerosas empresas que actúan como Encargados de Tratamiento, y con un poco de empatía, es comprensible el trabajo que se les puede generar cuando les enviamos nuestros contratos. La Agencia Española de Protección de Datos ya publicó unas directrices para la elaboración de estos contratos, y cuál debería ser el contenido mínimo de un acuerdo con los encargados de tratamiento, por lo que todos los contratos deberían de indicar lo mismo. Pero la realidad es que no todas las empresas siguen las directrices y un orden establecido en la elaboración de dichos contratos, ni se entregan correctamente cumplimentados con los tratamientos de la empresa, ni con los servicios prestados. A veces estas empresas se suelen encontrarse con contratos farragosos que exigen un tiempo y dedicación que les aporta poco, y que por tanto intentan evitar remitiéndonos a documentos propios. Pero ellos, son responsables de los datos que les cedemos, y con la ley en la mano, estamos en nuestro derecho de exigir que firmen nuestros contratos. No es lícito que nos remitan a sus políticas de privacidad y nos envíen sus propios contratos estándar que no coinciden con nuestra realidad.

Por tanto, si queremos que nuestros Encargados de Tratamiento firmen los contratos sin demora, debemos presentar unos acuerdos que cumplan con la normativa vigente, y que establezcan básicamente el objeto del mismo, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable. En definitiva, nuestro documento debe de cumplir con “la regla de las tres C”, es decir claro, concreto y concisos para dar fluidez a este trámite que respalde la seguridad de nuestros datos.

Si aun así no nos lo firman, debemos de recordar quien paga aquí, y que en la mayoría de las ocasiones existirá la opción de cambiar a una nueva empresa que nos preste el mismo servicio con las garantías que exige el Reglamento. Podremos ejercer nuestro derecho de portabilidad.

Aclaración:

Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos.

Disposición transitoria segunda. Contratos de encargado del tratamiento.

Los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022.

Durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el artículo 28 del Reglamento (UE) 2016/679.