El contrato de encargo de tratamiento desde la óptica del nuevo reglamento general de protección de datos

Novedades en la normativa de Protección de datos

Las últimas novedades legislativas que se han producido en el contexto europeo, principalmente con la entrada en vigor -en mayo de 2016- del Reglamento General de Protección de Datos (RGPD), el cual será plenamente aplicable a partir de mayo de 2018, han supuesto la suma de nuevos elementos y obligaciones en lo que a la relación entre responsable y encargado del tratamiento de datos personales se refiere.

El contrato de encargo de tratamiento, es aquel que pone en relación al responsable del tratamiento de datos personales con un tercero, con el cual le vincula un contrato de prestación de servicios en virtud del cual se produce un acceso a los datos personales contenidos en ficheros titularidad del responsable del tratamiento. A dicho tercero con acceso a la información de carácter personal, se le denomina encargado del tratamiento.

El RGPD hace alusión a obligaciones y requisitos que ya se exigían en virtud de la Directiva 95/46 y de la Ley Orgánica de Protección de Datos (LOPD) y su reglamento de desarrollo (RLOPD), si bien añade obligaciones adicionales de preceptivo cumplimiento para responsables y encargados del tratamiento, quienes además deberán implementar progresivamente las diferentes novedades introducidas por el RGPD, con carácter previo a la efectiva aplicación del mismo, durante este período transitorio.

Contenidos que debe tener el encargo de tratamiento de datos

De cara a la adecuada regulación de las relaciones entre el responsable y el encargado del tratamiento, los acuerdos, actos jurídicos o contratos que articulen y establezcan sus derechos y obligaciones, deberán contener, en concreto, los siguientes aspectos novedosos destacados por el RGPD, y que han sido a su vez objeto de estudio por parte de las recientes directrices publicadas por la Agencia Española de Protección de Datos (AEPD):

1. El nuevo RGPD exige que en el apartado contractual relativo al objeto del encargo del tratamiento, se incluyan los tratamientos concretos y específicos a realizar, atendiendo al servicio prestado por el encargado del tratamiento y la forma bajo la cual se desarrolla. Estos tratamientos pueden abarcar desde la mera recogida, consulta o extracción de la información de carácter personal, hasta su estructuración, conservación, difusión, cotejo, supresión, registro, modificación, interconexión, limitación, destrucción o comunicación. Esta información deberá ir en consonancia con la descripción detallada del servicio a prestar, que será el que precisamente motive la realización de unas operaciones de tratamiento u otras.
    
2. Respecto a la libertad del responsable del tratamiento a la hora de seleccionar al encargado, el RGPD parece establecer una cierta limitación a dicha discrecionalidad. Se exigirá que el encargado del tratamiento ofrezca o presente ciertas garantías que permitan asegurar la protección y la confidencialidad de la información de carácter personal de los interesados. De este modo, no solamente se ve reducida la discrecionalidad del responsable del tratamiento, sino que también se aprecia un fortalecimiento de la diligencia que ha de tener el responsable en su elección. Las garantías que debe presentar el encargado, se refieren especialmente a sus conocimientos y recursos en materia de protección de datos personales, y se orientarían fundamentalmente a salvaguardar tanto la confidencialidad como la seguridad de los datos personales objeto del encargo de tratamiento. Adicionalmente, el RGPD propone como posibles medios de prueba o acreditación de tales garantías, por ejemplo, la presentación de certificados de protección de datos por parte del encargado del tratamiento o la adscripción a códigos de conducta. 
    
3. Especialmente destacable es la posibilidad introducida por el RGPD, relativa a la articulación de la relación entre ambas figuras, a través de un acto jurídico unilateral por parte del responsable del tratamiento. Según el RGPD, debería tratarse en todo caso de un acto jurídico que fijase de forma clara las obligaciones y la posición a desempeñar por el encargo del tratamiento, y debe vincularle jurídicamente. Adicionalmente, se establece el requisito de que conste por escrito, resultando válido tanto el formato físico como el electrónico. 
    
4. Al igual que ya sucedía conforme a la Directiva 95/46 y la LOPD, el contrato o acto jurídico vinculante que articule la relación entre responsable y encargado, deberá contener las medidas de seguridad aplicables a los tratamientos realizados. Dichas medidas de seguridad serán aplicables a las operaciones llevadas a cabo por el encargado, pero también serán extensibles a aquellas personas que actúen bajo su dependencia o en colaboración con el mismo. Las medidas de seguridad podrán determinarse de forma específica o exhaustiva, o bien a través de la referencia o remisión a un estándar reconocido (que puede consistir en normativa nacional o internacional). 
    
5. En relación al deber de confidencialidad sobre los datos personales objeto del encargo de tratamiento, será preceptivo que se establezca la forma concreta mediante la cual el encargado garantizará que todas las personas dependientes o que actúen bajo su autoridad, respetarán el mencionado principio. Se exigirá, por tanto, que el cumplimiento de esta obligación quede documentado. El compromiso adquirido por las personas señaladas anteriormente, podrá probarse, por ejemplo, a través de la firma de acuerdos de confidencialidad, o mediante la aceptación genérica de dicha obligación cuando ésta tenga naturaleza estatutaria.
    
6. Una de las principales novedades introducidas por el RGPD, con carácter general, es la modificación de los derechos interesados. A partir de ahora, hablaremos de los derechos de acceso, rectificación, supresión (derecho al olvido), portabilidad, limitación y oposición. El RGPD, además de incluir especiales obligaciones en materia de información a los interesados acerca de los derechos que les asisten, establece -en concreta referencia a los contratos de encargo de tratamiento- la obligación de determinar quién atenderá y en qué forma el ejercicio de tales derechos. La respuesta a las solicitudes de ejercicio de estos derechos, podrá figurar como deber atribuido al encargado del tratamiento, o por el contrario, éste solamente tendría la obligación de comunicar al responsable del tratamiento el ejercicio de tales derechos. 
    
7. De especial interés será también, la obligación de determinar cuál será el destino final de los datos personales objeto de tratamiento, debiendo escogerse entre dos opciones: su destrucción una vez finalizado el objeto del encargo, o bien su devolución al responsable del tratamiento. Complementariamente, deberán concretarse tanto la forma como el plazo en que llevar a cabo una u otra actuación. 
    
8. Por último, resulta igualmente relevante hacer referencia al deber de colaboración que recaerá sobre el encargado del tratamiento, a la hora de facilitar al responsable aquella información que resulte necesaria para probar el cumplimiento de las obligaciones exigidas en el contexto del encargo, e incluso también para la adecuada realización de auditorías. 

En conclusión

Complementariamente a todos los aspectos señalados, el contrato o acto jurídico que regule la relación entre responsable y encargado, deberá contener al menos, el objeto, la naturaleza y finalidad del tratamiento, la duración, la tipología o clases de datos personales tratados, las categorías de interesados, y las obligaciones y derechos de responsable y encargado, además evidentemente, de las medidas de seguridad concretas a aplicar.

Como se puede observar, el RGPD tiende a exigir una mayor concreción en los deberes y derechos de las partes, y una regulación más exhaustiva de los tratamientos realizados y de las medidas de seguridad a implementar. Todo ello, en aras a garantizar una mayor seguridad de los datos personales objeto del encargo de tratamiento, que en todo caso, debería redundar en una mayor protección de los derechos de los interesados.

Fuentes utilizadas:

• Directrices para la elaboración de contratos entre responsables y encargados del tratamiento de la AEPD 
• Reglamento General de Protección de Datos (RGPD)
• Ley Orgánica de Protección de Datos Personales (LOPD) y reglamento de desarrollo (RLOPD)