Finaliza el plazo para adecuar al RGPD los contratos de prestación de servicios

Desde la entrada en vigor de la Ley Orgánica 3/2018 de Protección de Datos, las empresas han dispuesto de un plazo de dos años para revisar y adecuar todos los contratos suscritos con sus prestadores a los rigurosos requisitos dispuestos por la normativa europea en este respecto. Dicho plazo finaliza el día 25 de mayo, y es de esperar que las autoridades de control aumenten su actividad inspectora a partir de esa fecha.

Desde su aprobación en 2016, el Reglamento General de Protección de Datos (RGPD) ha supuesto todo un cambio de paradigma en el régimen legal sobre protección de datos personales. Desde las PYMES hasta las Administraciones públicas, todas las entidades que de un modo u otro tratan datos personales – es decir, todas las entidades – se han visto obligadas a hacer grandes esfuerzos para cumplir estas nuevas exigencias. Sin embargo, uno de los puntos que más atención requiere conforme a la normativa de protección de datos es también uno de los más desatendidos por las organizaciones, exponiéndose así a sanciones cada vez más cuantiosas y frecuentes. Hablamos de los contratos de prestación de servicios, una herramienta muy habitual en toda clase de entidades que, sin embargo, queda sometida a un estricto régimen legal.

NUEVAS CONDICIONES

Ya desde la Ley Orgánica 15/1999 – hoy derogada –, existía la obligación de suscribir un contrato que regulara la relaciones entre responsables del fichero y encargados del tratamiento. Dicho acuerdo, conocido comúnmente como “contrato de encargado”, debía establecer las condiciones en las que ambos sujetos participarían conjuntamente en determinados tratamientos de datos personales. Posteriormente, el RGPD expandió notablemente esta obligación, ampliando los requisitos aplicables y los supuestos en los que debe implementarse esta clase de acuerdo.

Tal cuestión no es baladí, pues revisar y modificar lo que, en muchas empresas, se traduce en cientos de contratos supone un enorme esfuerzo para quienes no deseen verse multados. Sabedor de esta situación, el legislador español decidió otorgar un plazo de transición a todas entidades obligadas. La Ley Orgánica 3/2018 incluye la siguiente previsión:

Los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022”.

Esto, evidentemente, es un plazo del que sólo pueden disfrutar aquellos contratos que ya cuenten con un acuerdo de encargado redactado conforme a la normativa anterior, y no tiene en cuenta aquellas relaciones contractuales que, debiendo contar con un contrato de encargado, carezcan del mismo o no cumplan todas las exigencias al respecto. En este último supuesto, estaríamos ante un claro incumplimiento normativo que ya ha sido objeto de cuantiosas multas por parte de las autoridades de control.

RESPONSABLES Y ENCARGADOS: UNA RELACIÓN COMPLEJA

Pero ¿qué debemos entender por “responsable” y “encargado”? El RGPD nos da las claves para responder a esta cuestión. En su artículo 4, la norma define “responsable del tratamiento” como “la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento”. A su vez, será “encargado del tratamiento” quien “trate datos personales por cuenta del responsable del tratamiento”.

En definitiva, el responsable es quien tiene interés en un determinado tratamiento de datos personales, y el encargado es quien lo ejecuta.

Como vemos, se trata de dos figuras estrechamente relacionadas con grandes con implicaciones muy significativas en la práctica, pues los deberes de unos y otros pueden diferir sustancialmente. Esta relación la encontramos habitualmente en las prestaciones de servicio; ejemplos comunes son los servicios de asesoría/gestoría, la seguridad privada o las plataformas de software de gestión, casos todos en los que el cliente actuará como responsable y el contratista como encargado. Sin embargo, esta dinámica esconde muchos matices y es necesario analizar dicha relación con detalle para determinar la posición de cada parte.

De cualquier modo, existe una obligación en materia de protección de datos que resulta fundamental para ambos sujetos; y es que el artículo 28.3 RGPD establece claramente que el tratamiento por el encargado se regirá por un contrato que vincule al encargado respecto del responsable y establezca todas las vicisitudes del tratamiento de datos en cuestión. Como se ha señalado, el contrato de encargado debe contener una serie de elementos esenciales para su plena licitud, elementos que se enumeran en el RGPD y que han sido desarrollados por las autoridades de control en múltiples guías, directrices y resoluciones.

Lo que debe quedar claro, no obstante, es que la suscripción del contrato de encargado es una obligación exigible tanto al responsable como al encargado. Es más, aunque tradicionalmente se esperaba que fuera el responsable del tratamiento quien impulsara la suscripción del contrato de encargado, las autoridades de control ya sancionan también a los encargados por esta misma causa. La última de estas sanciones ha sido la multa de 1,5 millones de euros impuesto por la autoridad francesa.

En resumen, toda empresa debe: