Conoce Atico34 - Solicita presupuesto
LOPDGDD & RGPD

El contrato de protección de datos RGPD LOPD

Contrato de protección de datos, contrato de encargo de tratamiento, contrato de cesión a terceros… En muchos de nuestros artículos y guías sobre RGPD y LOPD mencionamos este documento, pero ¿qué es el contrato de protección datos RGPD LOPD? ¿Cuándo se debe firmar? ¿Cuál es su contenido? En las próximas líneas daremos respuesta a estas y otras cuestiones.

¿Qué es el contrato de protección de datos personales?

El RGPD define en el artículo 28.3 el contrato de protección de datos o contrato de tratamiento de datos como:

[…] Contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable […].

Por lo tanto, el contrato de protección de datos LOPD RGPD es un documento que se emplea para formalizar la relación entre el responsable del tratamiento y el encargado del tratamiento, donde el primero establece una serie de instrucciones respecto al tratamiento de datos personales que el segundo debe seguir. También podemos encontrar el contrato de protección de datos bajo el nombre de DPA o acuerdo de procesamiento de datos (data processing agreement por sus siglas en inglés).

El contrato de protección de datos también aparece en la LOPDGDD, en concreto en su artículo 33, que en parte remite al citado artículo 28.3 del RGPD.

¿Cuándo es necesario firmar un DPA?

El contrato de protección de datos o contrato del encargado de tratamiento debe firmarse siempre que un proveedor de servicios contratado por una empresa o autónomo o cualquier otro tipo de organización pública o privada, tenga acceso directo o indirecto a los datos personales que trata la empresa, es decir, se produzca una cesión de datos a terceros (entre la empresa, profesional u organización contratante y el proveedor contratado).

¿Quiénes deben firmar el contrato de protección de datos?

El contrato RGPD LOPD se firma, como hemos visto ya, entre el responsable del tratamiento y el encargado del tratamiento.

Ambos pueden ser personas físicas o jurídicas; el responsable del tratamiento, que como hemos dicho puede ser una empresa, un autónomo o una organización pública o privada, contrata la prestación de un servicio a un proveedor, este servicio requiere del acceso directo o indirecto a datos personales por parte del proveedor, por lo que este se convierte en el encargado del tratamiento.

La firma la realizarán aquellas personas con capacidad para realizar esa vinculación entre responsable y encargado.

tarifas proteccion datos

¿Por qué se debe firmar un contrato RGPD LOPD?

La primera y principal razón para firmar el contrato LOPD RGPD es porque así lo establece la Ley, ya apliquemos la protección de datos en pequeñas empresas o en medianas y grandes empresas o hablemos del RGPD y LOPD para autónomos, se trata de una obligación que cualquier organización o profesional que trate con datos personales y ceda estos a un tercero, debe cumplir.

La segunda razón, es que el contrato de protección de datos define las responsabilidades de las partes, es decir, crea y establece las «reglas del juego» para el responsable y para el encargado y cómo deben cumplirlas. De esta manera, el contrato funciona como una salvaguarda para organizaciones y profesionales de cara a posibles problemas que pudieran surgir durante la relación contractual.

¿Qué debe incluir un contrato de protección de datos?

Aparte del objeto, la duración, naturaleza y finalidad del tratamiento, el tipo de datos personales afectados, las categorías de interesados y las obligaciones y derechos del responsable, el contrato de protección de datos RGPD LOPD también debe contener los siguientes apartados o cláusulas:

  • Instrucciones del responsable del tratamiento: Se especificarán de forma clara los tratamientos que deberá realizar el encargado, en función del servicio prestado y la forma en la que se preste. Si se van a producir comunicaciones de datos a terceros o transferencias internacionales de datos, se deben tener en cuenta en este apartado.
  • Garantía del deber de confidencialidad: El encargado deberá garantizar que las personas autorizadas para acceder a los datos personales, cumplirán con el deber de confidencialidad.
  • Medidas de seguridad: Se establecerá la obligación del encargado de implementar todas las medidas de seguridad técnicas y organizativas necesarias para garantizar la protección de datos.
  • Régimen de subcontratación: Si el responsable permite al encargado la subcontratación de un subencargado del tratamiento, esta autorización quedará recogida y reflejada en el contrato. El subencargado estará sujeto a las mismas condiciones contractuales que el encargado.
  • Derechos de los interesados: Se debe determinar si el encargado deberá responder a las solicitudes de derechos de los interesados (acceso, supresión, rectificación, limitación, portabilidad y oposición).
  • Colaboración en el cumplimiento de las obligaciones del responsable: El contrato establecerá cómo ayudará el encargado al responsable a cumplir con las obligaciones relativas a las medidas de seguridad, la notificación de brechas de seguridad a interesados y AEPD y, cuando proceda, la realización de evaluaciones de impacto y consulta previa a la AEPD.
  • Destino de los datos tras finalizar la prestación: Se fijará en el contrato qué debe hacer el encargado con los datos una vez finalizada la prestación del servicio; si debe proceder a suprimir los datos o devolverlos al responsable, junto a las posibles copias generadas. Se fijará la forma y plazo para realizarlo.
  • Colaboración con el responsable para demostrar el cumplimiento: Se fijará en el contrato la obligación del encargado de poner a disposición del responsable toda la información que pueda ser necesaria para demostrar el cumplimiento de la normativa.
Contenido contrato proteccion datos

Contenido que debe tener un contrato protección de datos

¿Cómo debe ser el contrato LOPD RGPD?

El contrato de protección de datos RGPD LOPD debe constar por escrito, bien en formato físico o bien en formato digital. En ese segundo caso, se admite la firma digital como válida para formalizarlo.

Si bien, también se admiten otras formas para establecer y validar esta relación entre responsable y encargado, siempre que se cumpla con los requisitos anteriores respecto al contenido. Por ejemplo, se admite la aceptación de las cláusulas mediante el marcado de casillas (aunque debe quedar registrado y permitir la trazabilidad de la voluntad de las partes).

En cualquier caso, siempre debemos contar con una copia del contrato de protección de datos en nuestros archivos.

Consecuencias de no firmar el contrato de protección de datos

Cualquier irregularidad respecto al contrato de protección de datos, incluido el no firmarlo cuando un proveedor va a tener acceso a los datos personales que trata una organización o profesional, o realizar el contrato con un proveedor que no cumpla con la normativa de protección de datos con las garantías necesarias, se considera una infracción leve o grave por la LOPDGDD. En concreto, las infracciones relacionados con el contrato de protección de datos las encontramos en las letras j), k), l) y m) del artículo 73 y las letras j) y k) del artículo 74.

Estas infracciones pueden implicar la imposición de sanciones de hasta 300.000 euros, dependiendo de la gravedad, el número de interesados afectados, las categorías de datos afectadas y la duración en el tiempo de la infracción.

Beneficios del contrato de protección de datos

Aparte de cumplir con una obligación de la normativa de protección de datos, firmar el contrato RGPD LOPD permite a las empresas definir las responsabilidades y obligaciones de cada una de las partes respecto a la protección y tratamiento de los datos objeto del contrato.

De esta manera responsable y encargado del tratamiento sabrán en todo momento cuáles son sus obligaciones y responsabilidades en torno a los datos que el primero ceda o comunique al segundo, quedando recogido en un documento oficial, por escrito y vinculante, cuya vulneración e incumplimiento tiene consecuencias legales.

En definitiva, firmar el contrato de protección de datos RGPD LOPD es una obligación para cualquier responsable de tratamiento que contrate la prestación de un servicio que implique el acceso a datos personales por parte del proveedor.

Redactar de manera adecuada el contrato de protección de datos puede suponer cierta complejidad para quienes no estén familiarizados con la normativa y con el Derecho en general. Grupo Atico34 ayuda a sus clientes a redactar los contratos de encargo de tratamiento a sus clientes y a gestionarlos a través de su software de protección de datos.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.