Desde el pasado 25 de mayo de 2018, fecha de inicio de aplicación del Reglamento General de Protección de Datos (RGPD), nos hemos encontrado multitud de casos en los que nuestros clientes nos preguntan sobre la relación con sus proveedores y la normativa de protección de datos.

En este articulo vamos a explicar algunas de esas dudas, pero la número 4 es la más solicitada o polémica:

  1. ¿Quién es el encargado de tratamiento?

Es ese proveedor que le presta un servicio y para ello accede algún tipo de datos de carácter personal, como puede ser, los datos de sus empleados, para gestionarle las nóminas, o a todos los datos de su empresa porque le presta el servicio de mantenimiento informático, etc…

  1. ¿Qué tiene que cumplir mi proveedor en materia de protección de datos?

Debe cumplir todos los preceptos que marca la normativa de protección de datos al igual que usted que trata datos de carácter personal.

  1. ¿Cómo se regula la relación entre mi proveedor y mi empresa?

Se regula según artículo 28 del RGPD, con un acto que les vincule jurídicamente, un contrato por escrito, inclusive en formato electrónico. No se puede regular verbalmente.

El responsable de tratamiento que es usted debe elegir únicamente a un encargado de tratamiento (proveedor) que le ofrezca garantías suficientes para aplicar todas las medidas, tanto técnicas como organizativas, con el fin de que ese tratamiento sea conforme con lo que marca el RGPD y que de esa manera garantice también la protección de los derechos de los interesados.

El encargado del tratamiento no recurrirá a otro encargado sin la autorización previa por escrito, específica o general, del responsable. En este último caso, el encargado informará al responsable de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al responsable la oportunidad de oponerse a dichos cambios.

Dicho contrato debe contener como mínimo:

  1. el objeto
  2. la duración
  3. la naturaleza y la finalidad del tratamiento,
  4. el tipo de datos personales y categorías de interesados, y
  5. las obligaciones y derechos del responsable

El proveedor (encargado de tratamiento, sic):

a) Tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado; en tal caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público;

b) garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria;

c) tomará todas las medidas necesarias de conformidad con el artículo 32;

d) respetará las condiciones indicadas en los apartados 2 y 4 para recurrir a otro encargado del tratamiento;

e) asistirá al responsable, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el capítulo III;

f) ayudará al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado;

g) a elección del responsable, suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros;

h) pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.

 En relación con lo dispuesto en la letra h) del párrafo primero, el encargado informará inmediatamente al responsable si, en su opinión, una instrucción infringe el presente Reglamento u otras disposiciones en materia de protección de datos de la Unión o de los Estados miembros.

Sin perjuicio de lo dispuesto en los artículos 82, 83 y 84, si un encargado del tratamiento infringe el presente Reglamento al determinar los fines y medios del tratamiento, será considerado responsable del tratamiento con respecto a dicho tratamiento.

  1. ¿Quién redacta el contrato entre mi proveedor y mi empresa?

A este respecto es donde más polémica estamos encontrando, por un lado, que los clientes están encontrando dificultad en que sus proveedores les faciliten el contrato según art. 28 del RGPD, por otro lado, quién facilita el contrato a quién.

Pues bien, el propio redactado del art 28, no deja lugar a dudas el contrato lo debe facilitar el encargado de tratamiento a su cliente, por la sencilla razón, de que éste conoce perfectamente:

  1. Si está cumpliendo la normativa de protección de datos o no.
  2. Si ha formado a sus empleados.
  3. Qué medidas técnicas y organizativas va a emplear para tratar los datos del responsable de tratamiento.
  4. Si tiene el servicio encomendado subcontratado, totalmente o parcialmente.
  5. Si utiliza servidores fuera de la UE.
  6. Etc.

Otra cosa es, que el responsable es quien tiene la última palabra, al decidir si acepta o modifica el contenido del contrato facilitado por el proveedor de servicio.

Si fuese el responsable de tratamiento quien tuviera que redactarlo, tendría que hacerle todas esas preguntas entre otras, por ende, es más fácil que lo redacte el proveedor.

Otra pregunta es que no quiere darme el contrato según articulo 28, pues en ese caso no se debería trabajar con dicho proveedor, porque ya dice el reglamento, que el responsable velará por la elección idónea de un encargado de tratamiento según explicaba en punto 3.

Los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y, en caso de haberse pactado de forma indefinida, hasta transcurridos cuatro años desde la citada fecha.

En caso de que los contratos previesen su prórroga al término de su vencimiento, ya fuera por mutuo acuerdo entre las partes o en ausencia de denuncia por cualquiera de ellas, deberá producirse su adaptación con anterioridad al momento en que estuviera prevista dicha prórroga.

Desde el despacho de MedinAbello&Asociados, podemos ayudarle!