Contratos de protección de datos insulsos con proveedores

Regulación del tratamiento de datos por terceros

La externalización de servicios que implican el acceso a datos personales constituye una realidad habitual en la actividad empresarial, no obstante, en el actual marco normativo de protección de datos  esta práctica exige un control jurídico reforzado.

El RGPD es claro cuando un tercero trata datos personales por cuenta de nuestra empresa, ese proveedor será considerado Encargado del tratamiento y dicha relación debe estar debidamente regulada, documentada y supervisada.

La ausencia o deficiente regulación de esta relación no es una mera irregularidad formal, sino una infracción susceptible de sanción, como en el ejemplo siguiente: EXP202204485, que se le impuso una multa de 30.000€ a la empresa que contrato al proveedor / encargado del tratamiento.

Finalidad del contrato de Encargado del tratamiento

El contrato se firmará entre la empresa cliente Responsable del tratamiento y el proveedor Encargado del tratamiento según exige el artículo 28.3 RGPD y en ausencia de este contrato, el tratamiento es ilícito, con independencia de la existencia de una relación mercantil válida entre las partes.

Este Contrato de Encargo tiene como finalidad garantizar que el tratamiento de datos personales realizado por un tercero y que este se ajuste estrictamente a las instrucciones del Responsable del tratamiento y a la normativa vigente.

La firma de este contrato no transfiere la responsabilidad principal al proveedor / encargado del tratamiento, que continúa recayendo en el Responsable del tratamiento, conforme al principio de responsabilidad proactiva recogido en el artículo 5.2 RGPD.

Contenido obligatorio del contrato y determinación de las partes

El contenido mínimo del contrato de encargo viene imperativamente determinado por el artículo 28.3 RGPD, debiendo regular entre otros aspectos:

• El objeto, duración, naturaleza y finalidad del tratamiento
• El tipo de datos personales tratados y categorías de las personas interesadas
• La obligación del encargado de tratar los datos únicamente siguiendo instrucciones documentadas del responsable
• El deber de confidencialidad (art. 28.3.b RGPD)
• La adopción de medidas técnicas y organizativas adecuadas (art. 32 RGPD)
• El régimen de subencargados (art. 28.2 y 28.4 RGPD)
• La asistencia al responsable en el cumplimiento de sus obligaciones
• La supresión o devolución de los datos al finalizar la prestación del servicio
• La puesta a disposición de información para demostrar el cumplimiento

Adicionalmente, el contrato contemplará la Decisión de ejecución (UE) 2021/915 de la Comisión de 4 de junio de 2021 relativa a las cláusulas contractuales tipo entre responsables y encargados del tratamiento contempladas en el artículo 28.7 RGPD.

El Responsable del tratamiento es quien debe establecer y validar este contenido, por lo que aceptar sin revisión un contrato estándar del proveedor supone incumplir el deber de diligencia exigido por la normativa.

Obligación de evaluar al encargado del tratamiento

El RGPD no permite seleccionar proveedores de forma automática o acrítica, de hecho, el artículo 28.1 RGPD exige que el responsable solo contrate Encargados del tratamiento que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas.

Esta exigencia se conecta directamente con el Principio de responsabilidad proactiva (art. 5.2 RGPD) y obliga a realizar una evaluación previa del proveedor, proporcional al riesgo del tratamiento, que tenga en cuenta:

• Las medidas de seguridad implementadas
• La experiencia y solvencia técnica del proveedor
• El cumplimiento normativo acreditable
• La localización de los tratamientos y posibles transferencias internacionales

La LOPDGDD refuerza esta obligación al exigir una gestión diligente de los tratamientos y de los sujetos que intervienen en ellos.

Riesgos jurídicos de suscribir contratos genéricos o insuficientes

La Agencia Española de Protección de Datos (AEPD) ha reiterado en procedimientos sancionadores que la firma de contratos de encargo genéricos, ambiguos, insulsos o incompletos constituye un riesgo elevado y que la existencia de un contrato no es suficiente si su contenido no se ajusta a lo anteriormente dispuesto. Entre los riesgos más frecuentes se encuentran:

• Falta de concreción de las medidas de seguridad que el proveedor debe cumplir
• Cláusulas que permiten tratamientos no autorizados
• Subcontrataciones sin control ni autorización
• Exclusiones indebidas de responsabilidad

Estos contratos no protegen al Responsable del tratamiento y no acreditan el cumplimiento normativo.

Riesgos derivados de proveedores no confiables

Un proveedor que no cumple adecuadamente la normativa de protección de datos representa un riesgo directo para la empresa Responsable del tratamiento, pues si se produce una reclamación de un cliente ante una mala práctica de dicho proveedor o si se produce una brecha de seguridad por culpa deeste, no exime de responsabilidad al Responsable, conforme establece el artículo 24 RGPD.

Contratar un proveedor sin las debidas exigencias podrá conllevar consecuencias como estas para tu empresa:

• Sanciones administrativas conforme al artículo 83 RGPD
• Reclamaciones de los interesados (art. 82 RGPD)
• Daños reputacionales y pérdida de confianza
• Costes derivados de brechas de seguridad
• Requerimientos correctivos de la AEPD

En la práctica sancionadora, la falta de control sobre los encargados es un elemento recurrente en la imputación de responsabilidad.

Selección de proveedores seguros: checklist práctica

Antes de contratar a un Proveedor Encargado del tratamiento, tu empresa debería verificar, como mínimo:

• Determinación clara de su rol (encargado o responsable)
• Transparencia sobre los Subencargados con los que contará el Encargado
• Cumplimiento acreditable del RGPD y la LOPDGDD por parte del Encargado
• Celebrar un Contrato de Encargo conforme a las exigencias legales vigentes
• Evaluar al Encargado para garantizar que cumple con RGPD y la LOPDGDD

Dado que es el Responsable quien debe demostrar que ha actuado con la diligencia debida en el caso de  la selección y supervisión del Encargado, esto servirá para que el Responsable eluda las sanciones por mala práctica profesional por parte de los Encargados.

Un ejemplo de sanción a un Encargado del tratamiento que incumplió las obligaciones establecidas en el Contrato de Encargo firmado con el Responsable del tratamiento, se puede encontrar aquí, en la que se le multó con 15.000€.

Un contrato de encargo adecuado, unido a una evaluación real y documentada del proveedor, constituye una de las principales herramientas de defensa jurídica de la empresa ante cualquier inspección o reclamación.

Business Adapter a su servicio

Si necesitas redactar un Contrato de Encargo para firmar con un proveedor al que quieras delegarle ciertas funciones o necesitas una evaluación documentada para determinar que cumple con la Normativa de protección de datos y evitar asumir sanciones derivadas de sus malas prácticas,  contáctanos en el email: info@businessadapter.es,  puedes llamar al 96 131 88 04, o deja tu mensaje en nuestro formulario: