Contrato de protección de datos, contrato de encargo de tratamiento, contrato de cesión a terceros, contrato de privacidad de datos… En muchos de nuestros artículos y guías sobre RGPD y LOPD mencionamos este documento, pero ¿qué es el contrato de protección datos LOPD RGPD? ¿Cuándo se debe formalizar? ¿Cuál es su contenido? En las próximas líneas daremos respuesta a estas y otras cuestiones relativas al contrato LOPD RGPD.
En este artículo hablamos de:
- ¿Qué es el contrato de protección de datos?
- ¿Cuándo es necesario firmar un contrato LOPD RGPD?
- ¿Quiénes son las partes en el contrato de protección de datos?
- ¿Por qué hay que hacer un contrato RGPD LOPD?
- Contenido del contrato de protección de datos personales
- Características del contrato LOPD
- Consecuencias por no formalizar el contrato de protección de datos
- Beneficios del contrato de protección de datos
¿Qué es el contrato de protección de datos?
El RGPD define en el artículo 28.3 el contrato de protección de datos personales o contrato de tratamiento de datos como:
[…] Contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable […].
Por lo tanto, el contrato de protección de datos LOPD RGPD es un documento que se emplea para formalizar la relación entre el responsable del tratamiento y el encargado del tratamiento, donde el primero establece una serie de instrucciones respecto al tratamiento de datos personales que el segundo debe seguir. También podemos encontrar el contrato de protección de datos bajo el nombre de DPA o acuerdo de procesamiento de datos (data processing agreement por sus siglas en inglés).
El contrato de protección de datos también aparece en la LOPDGDD, en concreto en su artículo 33, que en parte remite al citado artículo 28.3 del RGPD. Por lo tanto, no se define de forma diferente este contrato en la Ley de Protección de Datos española.
¿Cuándo es necesario firmar un contrato LOPD RGPD?
El contrato de protección de datos o contrato del encargado de tratamiento debe firmarse siempre que un proveedor de servicios contratado por una empresa o autónomo o cualquier otro tipo de organización pública o privada, tenga acceso directo o indirecto a los datos personales que trata la empresa, es decir, se produzca una cesión de datos a terceros (entre la empresa, profesional u organización contratante y el proveedor contratado).
¿Quiénes son las partes en el contrato de protección de datos?
El contrato RGPD LOPD se formaliza, como hemos visto ya, entre el responsable del tratamiento y el encargado del tratamiento.
Ambos pueden ser personas físicas o jurídicas; el responsable del tratamiento, que como hemos dicho puede ser una empresa, un autónomo o una organización pública o privada, contrata la prestación de un servicio a un proveedor, este servicio requiere del acceso directo o indirecto a datos personales por parte del proveedor, por lo que este se convierte en el encargado del tratamiento.
La firma LOPD la realizarán aquellas personas con capacidad para realizar esa vinculación entre responsable y encargado.
¿Por qué hay que hacer un contrato RGPD LOPD?
La primera y principal razón para hacer y formalizar el contrato LOPD RGPD es porque así lo establece la Ley, ya apliquemos la protección de datos en pequeñas empresas o en medianas y grandes empresas o hablemos del RGPD y LOPD para autónomos, se trata de una obligación que cualquier organización o profesional que trate con datos personales y ceda estos a un tercero, debe cumplir.
La segunda razón, es que el contrato de protección de datos define las responsabilidades de las partes, es decir, crea y establece las «reglas del juego» para el responsable y para el encargado y cómo deben cumplirlas. De esta manera, el contrato funciona como una salvaguarda para organizaciones y profesionales de cara a posibles problemas que pudieran surgir durante la relación contractual.
Contenido del contrato de protección de datos personales
El contrato de protección de datos personales debe tener el siguiente contenido, apartados y cláusulas:
- Objeto, duración, naturaleza y finalidad del tratamiento.
- Tipo de datos de personales afectados.
- Categorías de interesados.
- Instrucciones del responsable del tratamiento: Se especificarán de forma clara los tratamientos que deberá realizar el encargado, en función del servicio prestado y la forma en la que se preste. Si se van a producir comunicaciones de datos a terceros o transferencias internacionales de datos, se deben tener en cuenta en este apartado.
- Garantía del deber de confidencialidad: El encargado deberá garantizar que las personas autorizadas para acceder a los datos personales, cumplirán con el deber de confidencialidad.
- Medidas de seguridad: Se establecerá la obligación del encargado de implementar todas las medidas de seguridad técnicas y organizativas necesarias para garantizar la protección de datos.
- Régimen de subcontratación: Si el responsable permite al encargado la subcontratación de un subencargado del tratamiento, esta autorización quedará recogida y reflejada en el contrato. El subencargado estará sujeto a las mismas condiciones contractuales que el encargado.
- Derechos de los interesados: Se debe determinar si el encargado deberá responder a las solicitudes de derechos de los interesados (acceso, supresión, rectificación, limitación, portabilidad y oposición).
- Colaboración en el cumplimiento de las obligaciones del responsable: El contrato establecerá cómo ayudará el encargado al responsable a cumplir con las obligaciones relativas a las medidas de seguridad, la notificación de brechas de seguridad a interesados y AEPD y, cuando proceda, la realización de evaluaciones de impacto y consulta previa a la AEPD.
- Destino de los datos tras finalizar la prestación: Se fijará en el contrato qué debe hacer el encargado con los datos una vez finalizada la prestación del servicio; si debe proceder a suprimir los datos o devolverlos al responsable, junto a las posibles copias generadas. Se fijará la forma y plazo para realizarlo.
- Colaboración con el responsable para demostrar el cumplimiento: Se fijará en el contrato la obligación del encargado de poner a disposición del responsable toda la información que pueda ser necesaria para demostrar el cumplimiento de la normativa.
Contenido que debe tener un contrato protección de datos
Características del contrato LOPD
El contrato LOPD debe tener las siguientes características:
- Constar por escrito, bien en formato físico o bien en formato electrónico. En el segundo caso, la firma digital se admite como válida para su formalización.
- Siempre que el contrato cumpla con los requisitos anteriores respecto a su contenido, se admiten otras formas para establecer y validar la relación entre responsable y encargado del tratamiento. Por ejemplo, se admite la aceptación de las cláusulas mediante el marcado de casillas (aunque debe quedar registrado y permitir la trazabilidad de la voluntad de las partes).
- Por norma general, será el responsable quien facilite el contrato LOPD al encargado. Si bien se admite que el encargado pueda crear y facilitar el contrato al responsable, este nunca debe estar redactado en beneficio del encargado.
- Debe quedar constancia del contrato y su formalización, por lo que debemos guardar una copia del mismo en nuestros archivos.
Consecuencias por no formalizar el contrato de protección de datos
Cualquier irregularidad respecto al contrato de protección de datos, incluido el no formalizarlo cuando un proveedor va a tener acceso a los datos personales que trata una organización o profesional, o realizar el contrato con un proveedor que no cumpla con la normativa de protección de datos con las garantías necesarias, se considera una infracción leve o grave por la LOPDGDD. En concreto, las infracciones relacionados con el contrato de protección de datos las encontramos en las letras j), k), l) y m) del artículo 73 y las letras j) y k) del artículo 74.
Estas infracciones pueden implicar la imposición de sanciones de hasta 300.000 euros, dependiendo de la gravedad, el número de interesados afectados, las categorías de datos afectadas y la duración en el tiempo de la infracción.
Así mismo, es importante recordar que, como responsables del tratamiento, antes de formalizar el contrato LOPD, es nuestro deber comprobar que el proveedor que hemos escogido cumple con la normativa de protección de datos de manera adecuada.
Beneficios del contrato de protección de datos
Aparte de cumplir con una obligación de la normativa de protección de datos, formalizar el contrato LOPD RGPD permite a las empresas definir las responsabilidades y obligaciones de cada una de las partes respecto a la protección y tratamiento de los datos objeto del contrato.
De esta manera responsable y encargado del tratamiento sabrán en todo momento cuáles son sus obligaciones y responsabilidades en torno a los datos que el primero ceda o comunique al segundo, quedando recogido en un documento oficial, por escrito y vinculante, cuya vulneración e incumplimiento tiene consecuencias legales.
En definitiva, elaborar y formalizar el contrato de protección de datos LOPD RGPD es una obligación para cualquier responsable de tratamiento que contrate la prestación de un servicio que implique el acceso a datos personales por parte del proveedor.
Redactar de manera adecuada el contrato de protección de datos puede suponer cierta complejidad para quienes no estén familiarizados con la normativa y con el Derecho en general. Grupo Atico34 ayuda a sus clientes a redactar los contratos de encargo de tratamiento a sus clientes y a gestionarlos a través de su software de protección de datos.