¿Qué es un contrato de encargo del tratamiento y cuál deber ser su contenido?

Un contrato de encargo del tratamiento, conocido en inglés como data processing agreement (DPA), es un acuerdo legalmente vinculante entre un responsable del tratamiento (la entidad que decide cómo y por qué se tratan los datos personales) y un encargado del tratamiento (el proveedor de servicios externo que trata los datos personales en nombre del responsable).

Según la exigencia del artículo 28(3) del Reglamento General de Protección de Datos (RGPD), todo tratamiento de datos personales por parte de un encargado debe estar regulado por un contrato o acto jurídico. 

Este contrato debe estar por escrito, incluyendo la opción de formato electrónico. Los acuerdos no formalizados por escrito no son suficientes para cumplir con el RGPD (se considera una infracción del RGPD). Tanto el responsable como el encargado son responsables de garantizar que el tratamiento esté regulado por un contrato.

Contenido obligatorio del contrato de encargo del tratamiento

Aunque cada contrato de encargo del tratamiento puede adaptarse a las necesidades específicas de la relación a ser formalizada entre el responsable y el encargado del tratamiento, hay ciertos elementos que son obligatorios en cualquier contrato de encargo del tratamiento:

1. Objeto y duración del tratamiento

Debe detallarse el propósito específico del tratamiento de datos personales, así como la duración del contrato. Se debe especificar qué se pretende lograr con el tratamiento de los datos y cuándo finalizará el acuerdo. Además, se deben incluir condiciones para la finalización anticipada del contrato si se cesa el tratamiento.

2. Naturaleza y finalidad del tratamiento

Es fundamental describir el tipo de tratamiento que se realizará, ya sea para actividades como análisis de mercado, gestión de nóminas o campañas de marketing. También se debe detallar la finalidad del tratamiento: ¿se realizará para cumplir con obligaciones legales, mejorar servicios o realizar análisis comerciales?

3. Categorías de datos e interesados

Especificar qué tipos de datos personales se tratarán (nombres, direcciones, datos financieros, etc.) y a quiénes pertenecen esos datos (empleados, clientes, proveedores, etc.). Si se tratan categorías especiales de datos (por ejemplo, datos de salud o antecedentes penales), esto debe quedar reflejado en el contrato.

4. Obligaciones y responsabilidades del encargado

El contrato de encargo del tratamiento debe plasmar que el encargado:

    • Tratará los datos personales únicamente según a las instrucciones documentadas del responsable.

    • Mantendrá la confidencialidad sobre los datos tratados.

    • Tomará las medidas necesarias para proteger los datos y garantizar la seguridad de los sistemas.

    • Informará al responsable de cualquier violación de seguridad que pueda comportar un riesgo para los derechos y libertades de los interesados. En caso de que se le haya delegado esta responsabilidad, deberá notificar a la autoridad de control competente y, si corresponde, comunicarlo también a los interesados afectados.

5. Medidas de seguridad

El contrato debe especificar las medidas técnicas y organizativas que el encargado aplicará para garantizar la seguridad de los datos personales, considerando riesgos como la destrucción, pérdida, alteración o acceso no autorizado, que puedan causar daños físicos, materiales o inmateriales.

6. Transferencias internacionales de datos

Si el encargado transfiere datos personales a países fuera de la Unión Europea, es necesario detallar cómo se garantizará que esas transferencias cumplan con la normativa, ya sea a través de cláusulas contractuales tipo (SCCs), normas corporativas vinculantes (BCRs), o mediante la verificación de que el país receptor ofrezca un nivel adecuado de protección de datos.

7. Uso de subencargados

Si el encargado necesita subcontratar determinados servicios a otros encargados (subencargados), el contrato debe hacer constar la correspondiente autorización para ello. El responsable podrá aprobar o rechazar el uso de subencargados, y estos estarán sujetos a las mismas obligaciones que el encargado original.

8. Conservación y eliminación de datos

El contrato de encargo debe especificar cuánto tiempo el encargado del tratamiento almacenará los datos y qué debe hacer con ellos al finalizar el contrato. En la mayoría de los casos, se acordará la devolución de los datos al responsable o la eliminación segura de los mismos. El encargado solo podrá retener una copia de los datos bloqueados para cumplir con responsabilidades legales o de auditoría.

¿Cómo te podemos ayudar?

Los abogados de AUFERIL están especializados en protección de datos y cumplimiento del RGPD. Ofrecemos soluciones personalizadas para que tus contratos de encargo del tratamiento se ajusten a los requisitos de la normativa de protección de datos.

  1. Elección del encargado del tratamiento: Analizamos y evaluamos las garantías ofrecidas por el encargado para asegurarnos de que cumple con los requisitos necesarios y es capaz de asumir sus obligaciones en materia de protección de datos.

  2. Revisión y redacción de contratos: Redactamos y revisamos contratos personalizados, adaptados a las necesidades específicas de tu organización y las actividades de tratamiento que realizará el encargado.

  3. Auditorías de cumplimiento: Realizamos auditorías para verificar que los encargados del tratamiento cumplen con sus obligaciones contractuales y legales.

Ponte en contacto con AUFERIL hoy mismo y descubre cómo podemos ayudarte con tus contratos de encargo del tratamiento