Conoce Atico34 - Solicita presupuesto
LOPDGDD & RGPD

El contrato de protección de datos LOPD RGPD

El contrato de protección de datos es un acuerdo entre la empresa o profesional y aquellos proveedores que les prestan un servicio que requiere de acceso a los datos personales que tratan los primeros. Por lo tanto, el contrato LOPD RGPD es el documento en el que se formaliza la relación entre el responsable del tratamiento y el encargado del tratamiento, en el que primero establece las instrucciones que debe seguir el segundo respecto al tratamiento de datos personales a los que tiene acceso.

También llamado contrato de encargo de tratamiento, contrato de privacidad de datos o DPA (acuerdo de procesamiento de datos, por sus siglas en inglés), esta obligación está establecida y regulada en los artículos 28 del RGPD y 33 de la LOPDGDD.

¿Cuándo es necesario firmar un contrato LOPD RGPD?

El contrato RGPD LOPD o contrato del encargado de tratamiento es necesario firmarlo cuando un proveedor de servicios contratado por una empresa, organización o entidad pública o autónomo (responsable del tratamiento), tenga acceso directo o indirecto a los datos personales que maneja el responsable del tratamiento, es decir, se produzca una cesión de datos a terceros (cesión entre el responsable del tratamiento y el proveedor contratado).

Por ejemplo, se debe firmar un contrato de protección de datos cuando una empresa contrata los servicios de una gestoría para que esta lleve las nóminas de sus empleados o cuando contrata un servicio de protección de datos con una consultoría externa.

Siempre que se produzca o se pueda producir un acceso a los datos personales que maneja el responsable del tratamiento, es obligatorio firmar el contrato LOPD RGPD, ya estemos hablando de cumplir la protección de datos en pequeñas empresas, medianas o grandes o del cumplir el RGPD y LOPD para autónomos.

tarifas proteccion datos

¿Qué debe incluir un contrato de protección de datos?

El contrato de protección de datos personales debe incluir el siguiente contenido, apartado y cláusulas:

  • Objeto, duración, naturaleza y finalidad del tratamiento.
  • Tipo de datos de personales afectados.
  • Categorías de interesados.
  • Instrucciones del responsable del tratamiento: Se especificarán de forma clara los tratamientos que deberá realizar el encargado, en función del servicio prestado y la forma en la que se preste. Si se van a producir comunicaciones de datos a terceros o transferencias internacionales de datos, se deben tener en cuenta en este apartado.
  • Garantía del deber de confidencialidad: El encargado deberá garantizar que las personas autorizadas para acceder a los datos personales, cumplirán con el deber de confidencialidad.
  • Medidas de seguridad: Se establecerá la obligación del encargado de implementar todas las medidas de seguridad técnicas y organizativas necesarias para garantizar la protección de datos.
  • Régimen de subcontratación: Si el responsable permite al encargado la subcontratación de un subencargado del tratamiento, esta autorización quedará recogida y reflejada en el contrato. El subencargado estará sujeto a las mismas condiciones contractuales que el encargado.
  • Derechos de los interesados: Se debe determinar si el encargado deberá responder a las solicitudes de derechos de los interesados (acceso, supresión, rectificación, limitación, portabilidad y oposición).
  • Colaboración en el cumplimiento de las obligaciones del responsable: El contrato establecerá cómo ayudará el encargado al responsable a cumplir con las obligaciones relativas a las medidas de seguridad, la notificación de brechas de seguridad a interesados y AEPD y, cuando proceda, la realización de evaluaciones de impacto y consulta previa a la AEPD.
  • Destino de los datos tras finalizar la prestación: Se fijará en el contrato qué debe hacer el encargado con los datos una vez finalizada la prestación del servicio; si debe proceder a suprimir los datos o devolverlos al responsable, junto a las posibles copias generadas. Se fijará la forma y plazo para realizarlo.
  • Colaboración con el responsable para demostrar el cumplimiento: Se fijará en el contrato la obligación del encargado de poner a disposición del responsable toda la información que pueda ser necesaria para demostrar el cumplimiento de la normativa.

Así mismo, el contrato de protección de datos debe constar por escrito, ya sea en formato físico o electrónico.

Cabe señalar que el responsable del tratamiento es quien debe informar de la cesión de datos a terceros mediante la correspondiente cláusula de protección de datos en el contrato o política de privacidad, así como de recabar el consentimiento de los interesados para ello (cuando esta sea la base legitimadora) a través de la hoja de protección de datos o la correspondiente casilla de aceptación de la política de privacidad en entornos digitales (si aplicase otra base legitimadora de las recogidas en el artículo 6 del RGPD, no será necesario el consentimiento, pero sí informar sobre la cesión, la finalidad de la misma y la identidad del encargado del tratamiento).

Contenido contrato proteccion datos

Contenido que debe tener un contrato protección de datos

¿Por qué hay que hacer un contrato RGPD LOPD?

Aparte de porque es obligatorio, el contrato de protección de datos debe hacerse porque en él se definen las responsabilidades de las partes respecto al tratamiento de los datos cedidos.

Cómo hemos visto en el punto anterior, en el contrato LOPD RGPD, el responsable del tratamiento establece la finalidad, las medidas de seguridad y el plazo, entre otros aspectos, que debe seguir y cumplir el encargado del tratamiento respecto a los datos personales a los que tiene acceso.

De esta manera, el contrato funciona como una salvaguarda para organizaciones y profesionales de cara a posibles problemas que pudieran surgir durante la relación contractual.

Cabe señalar que, aunque por norma general, será el responsable quien facilite el contrato LOPD al encargado, también se admite que el encargado pueda crear y facilitar el contrato al responsable, si bien este nunca debe estar redactado en beneficio del encargado.

Consecuencias por no formalizar el contrato de protección de datos

Cualquier irregularidad respecto al contrato de protección de datos, incluido el no formalizarlo cuando un proveedor va a tener acceso a los datos personales que trata una organización o profesional, o realizar el contrato con un proveedor que no cumpla con la normativa de protección de datos con las garantías necesarias, se considera una infracción leve o grave por la LOPDGDD. En concreto, las infracciones relacionadas con el contrato de protección de datos las encontramos en las letras j), k), l) y m) del artículo 73 y las letras j) y k) del artículo 74.

Estas infracciones pueden implicar la imposición de sanciones de hasta 300.000 euros, dependiendo de la gravedad, el número de interesados afectados, las categorías de datos afectadas y la duración en el tiempo de la infracción.

Así mismo, es importante recordar que, como responsables del tratamiento, antes de formalizar el contrato LOPD, es nuestro deber comprobar que el proveedor que hemos escogido cumple con la normativa de protección de datos de manera adecuada.

Beneficios del contrato de protección de datos

Aparte de cumplir con una obligación de la normativa de protección de datos, formalizar el contrato LOPD RGPD permite a las empresas definir las responsabilidades y obligaciones de cada una de las partes respecto a la protección y tratamiento de los datos objeto del contrato.

De esta manera responsable y encargado del tratamiento sabrán en todo momento cuáles son sus obligaciones y responsabilidades en torno a los datos que el primero ceda o comunique al segundo, quedando recogido en un documento oficial, por escrito y vinculante, cuya vulneración e incumplimiento tiene consecuencias legales.

En definitiva, elaborar y formalizar el contrato de protección de datos LOPD RGPD es una obligación para cualquier responsable de tratamiento que contrate la prestación de un servicio que implique el acceso a datos personales por parte del proveedor.

Redactar de manera adecuada el contrato de protección de datos puede suponer cierta complejidad para quienes no estén familiarizados con la normativa y con el Derecho en general. Grupo Atico34 ayuda a sus clientes a redactar los contratos de encargo de tratamiento a sus clientes y a gestionarlos a través de su software de protección de datos.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.