Con la entrada en vigor en 2018 del RGPD y la LOPDGDD, se introdujeron nuevas obligaciones respecto a cómo debían ser los contratos de tratamiento de datos o contratos de encargo de tratamiento o contratos RGPD. Además, se dio un plazo de tiempo para poder adecuar estos contratos a la nueva normativa. En este artículo explicamos cómo debe ser la redacción de nuevos contratos RGPD.
En este artículo hablamos de:
¿Qué son los nuevos contratos RGPD?
Los nuevos contratos RGPD son la «evolución» de los contratos de encargo de tratamiento que ya estaban contemplados en normativas anteriores de protección de datos (como la derogada LOPD de 1999 en España); estos nuevos contratos deben cumplir con los requisitos establecidos en el artículo 28.3 del RGPD.
Decimos nuevos contratos RGPD, pero lo cierto es que ya no son tan nuevos, si tenemos en cuenta que este Reglamento entró en vigor en 2018; sin embargo, puesto que el plazo para adaptar o formalizar los contratos de encargo de tratamiento de acuerdo al RGPD expiraba el 25 de mayo de 2022, para no pocas empresas es posible que haya sido necesaria la redacción de nuevos contratos RGPD con aquellos proveedores que tienen acceso a los datos personales que tratan y que hasta entonces no habían revisado.
Antes de pasar al siguiente punto, recordamos que el contrato de encargo de tratamiento es, de acuerdo al RGPD, un contrato o acto jurídico similar, que vincula al responsable del tratamiento con el encargado del tratamiento, en el que primero establece «el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesado y las obligaciones y derechos del responsable» y del encargado.
Este contrato de tratamiento de datos personales debe formalizarse siempre que un tercero, como puede ser el proveedor de un servicio para la empresa responsable del tratamiento, vaya a tener acceso a datos personales tratados por el responsable.
¿Es necesaria la redacción de nuevos contratos RGPD?
La redacción de nuevos contratos RGPD no es solo necesaria, sino obligatoria, tal y como establece la Disposición Transitoria Quinta de la LOPDGDD:
«Los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022».
Es decir, que cualquier contrato de encargo de tratamiento que se hubiera suscrito con carácter indefinido al amparo de la LOPD de 1999, debe actualizarse o formalizarse nuevamente bajo las condiciones que establece el RGPD para los contratos de protección de datos.
De manera que cualquier responsable del tratamiento (empresa, profesional, comunidad de vecinos, etc.) que aún tenga contratos de encargo de tratamiento formalizados antes de la entrada en vigor del RGPD y la LOPDGDD, y no los haya revisado o redactado nuevamente bajo las premisas del RGPD, estaría cometiendo una infracción de la normativa, por estar ya fuera del plazo dado para adaptarse a ella en lo que los contratos de protección de datos se refiere.
¿Qué debe incluir un contrato de tratamiento de datos?
Un contrato de tratamiento de datos o contrato RGPD debe incluir en sus apartados y cláusulas el siguiente contenido:
- El objeto, duración, naturaleza y finalidad del tratamiento
- Tipo de datos personales
- Categorías de interesados
- Instrucciones del responsable del tratamiento para el encargado del tratamiento
- Garantía de que el encargado cumplirá con del deber de confidencialidad
- Obligación del encargado de contar o establecer las medidas de seguridad técnicas y organizativas necesarias
- Aclaraciones y condiciones sobre el régimen de subcontratación
- Quién responderá y gestionará las reclamaciones de derechos de los interesados
- Cómo será la colaboración en el cumplimiento de las obligaciones del responsable
- Qué se deberá hacer con los datos personales una vez finalizada la prestación
- Colaborar con el responsable para demostrar el cumplimiento
Cómo podéis ver, el contenido del contrato RGPD es bastante exhaustivo, más que los contratos de encargado de tratamiento de la derogada LOPD. Por ello es necesario, si no se ha hecho ya, la redacción de nuevos contratos RGPD con los proveedores con acceso a datos personales que trata el responsable.
Esto es especialmente relevante, además, para aquellos casos en los que, con fecha anterior al 25 de mayo de 2018, el responsable del tratamiento lo que hizo fue firmar un contrato de adhesión con el encargado del tratamiento, en vez de haber redactado un contrato para ello (una opción válida, siempre y cuando el contrato de adhesión cumpla con los requisitos recogidos en el RGPD) y no ha vuelto a revisarlo desde entonces.
Consecuencias de no tener contratos de tratamiento adecuados al RGPD
De la misma forma que no incluir la cláusula RGPD en contratos, o no tener la política de privacidad en la página web, no haber redactado nuevos contratos RGPD dentro del plazo dado por la LOPDGDD, es motivo de sanción, puesto que, cómo decíamos, se estaría cometiendo una infracción de la normativa.
Estas sanciones pueden alcanzar hasta los 300.000 euros, dependiendo de la gravedad, el número de interesados y las categorías de datos afectadas y la duración en el tiempo de la infracción.
Recordemos, una vez más, que el plazo para revisar, adaptar o redactar nuevos contratos RGPD con aquellos encargados con los que tuviéramos formalizado un contrato de protección de datos de duración indefinida antes de mayo de 2018, expiró el pasado 25 de mayo de 2022, por lo que si tienes contratos de encargo de tratamiento en esta situación, debes subsanarlo cuanto antes, o podrías ser sancionado por la AEPD en un proceso de inspección o investigación.
Si tienes duda o no sabes cómo redactar los nuevos contratos RGPD, Grupo Atico34 tiene la solución, gracias a nuestro software de gestión de protección de datos, Atico34 Platform, podrás obtener de manera rápida y sencilla cualquier contrato de encargo de tratamiento que necesites, siempre personalizado y adaptado a tus necesidades y las de tu empresa. Además, podrás resolver cualquier duda al respecto gracias a nuestro equipo de asesores, disponibles en todo momento para ayudarte.