Muy pronto va a hacer ya 4 años que convivimos con el Reglamento General de Protección de Datos (RGPD o el Reglamento) en plena aplicación. Concretamente el próximo 25 de mayo de 2022. Desde luego será buen momento para que las empresas hagan análisis de lo que han avanzado y de su situación real de cumplimiento, si es que no lo han hecho a lo largo de estos años.
Pero esa fecha marca, además, el fin de un plazo que, según algunas interpretaciones, nos regaló nuestra Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPD GDD). Y digo que nos lo regaló porque, a diferencia del propio Reglamento, que nada dice expresamente al respecto, la Disposición Transitoria 5ª de nuestra ley nacional estableció que los contratos de encargado de tratamiento que se hubieran suscrito con anterioridad a la entrada en aplicación del RGPD, conforme a lo exigido por la anterior Ley Orgánica de Protección de Datos, podrían mantener su vigencia por el plazo de duración pactado en los mismos y, si se pactaron de forma indefinida, hasta el 25 de mayo de 2022.
Desde que entró en aplicación el Reglamento, cualquiera de estos contratos que se firma de nuevas, o que son renovación de prestación de servicios, deben contemplar, como mínimo, los compromisos que el art. 28 del RGPD, exige que consten en ellos. Estos compromisos son más exigentes que los que requería nuestra anterior LOPD y, en la práctica, se han traducido en contratos más extensos. Aquellos que ya se habían firmado con anterioridad al Reglamento debían adaptarse a éste y es aquí donde entra en juego ese plazo que, para los contratos indefinidos o sin plazo determinado, está a punto de acabar.
En consecuencia, cualquier contrato suscrito por tiempo indefinido con un proveedor que vaya a tratar datos personales en calidad de encargado deberá estar plenamente adaptado al RGPD como muy tarde el próximo 25 de mayo.
Para ello conviene analizar caso por caso. No es estrictamente necesario suscribir un nuevo contrato de prestación de servicios, o contrato principal, si éste permanece vigente y no se quiere tocar. Puede que ni siquiera sea imprescindible un nuevo acuerdo de encargo por completo, sino que en algunos supuestos puede resultar suficiente con incorporar una adenda, bien al contrato principal bien al acuerdo de encargo, según los casos, que contenga las cláusulas necesarias con arreglo al Reglamento.
Sea como sea, recordemos que el RGPD impone al responsable del tratamiento la obligación de elegir solo a encargados del tratamiento que ofrezcan garantías de que respetará los derechos y libertades de los interesados en el tratamiento de los datos personales. En otras palabras, las empresas deben evaluar a aquellos de sus proveedores que van a tratar datos personales bajo su responsabilidad. Esta evaluación, además, como ya ha indicado la Agencia Española de Protección de Datos en alguna de sus resoluciones, no puede limitarse al momento de la contratación, sino que deberá volver a realizarse de manera periódica. Ni el Reglamento, ni nuestra legislación nacional establecen cuál ha de ser la periodicidad para ello y perfectamente una misma organización puede no evaluar a cada uno de sus encargados del tratamiento con la misma periodicidad, pudiendo variar en función del riesgo del tratamiento, del riesgo asociado al encargado o de otras razones o criterios.
En cualquier caso, es buen momento ahora para evaluar a aquellos encargados del tratamiento con los que aún se mantienen contratos anteriores al 25 de mayo de 2018 si no se ha hecho durante todo este tiempo. Lo idóneo es contar para ello con un sistema o procedimiento lo más objetivo posible y que se encuentre embebido en el proceso de homologación de proveedores si la entidad cuenta con dicho proceso (protección de datos desde el diseño y por defecto), pero que, al mismo tiempo, por las razones dadas, se pueda activar de modo independiente para poder llevar a cabo las revisiones periódicas pertinentes.
Además, si el encargado del tratamiento, o cualquiera de sus activos que van a intervenir en el tratamiento de los datos, está ubicado en territorio fuera del Espacio Económico Europeo (EEE) que no ha sido declarado destino seguro mediante la oportuna decisión de adecuación de la Comisión Europea, deberá valorarse el riesgo de esta transferencia internacional de datos. Esto se hace mediante evaluaciones, conocidas como TIA por sus siglas en inglés (transfer impact assessment), en las que lo ideal es analizar el riesgo asociado a cuatro elementos: el exportador de los datos, las características propias de la transferencia, el régimen legal del lugar de destino de los datos y el importador o destinatario de los datos.
Por último, recordar que la obligación de suscribir un acuerdo de encargo, o clausulado equivalente en el propio contrato principal, recae tanto en el responsable como en el encargado del tratamiento y que dicho acuerdo, o acto jurídico, debe constar por escrito, ya sea en formato físico o digital.
Bonus track: A efectos tanto interpretativos del contrato como probatorios ante posibles reclamaciones y/o repercusiones entre las partes, resulta muy útil incorporar, como anexos al acuerdo de encargo, el cuestionario que haya debido responder el encargado para ser evaluado y, en su caso, para evaluar el riesgo de una transferencia internacional de datos, así como, si no se contienen en dicho cuestionario, las medidas de seguridad concretas que éste declare tener implementadas en relación con el tratamiento de datos que vaya a llevar a cabo por cuenta del responsable.
Por Ruth Benito