Hace 4 años, el 25 de mayo de 2018, entró en vigor el actual Reglamento Europeo de protección de datos (RGPD), que en su artículo 28 recoge todos los requisitos que debe cumplir un contrato de encargo de tratamiento. Asimismo, la ley española de protección de datos vigente (LOPDGDD) recogía, en su disposición transitoria quinta, el plazo máximo de 4 años para adaptar todos los contratos que se habían celebrado con anterioridad al reglamento:
Disposición transitoria quinta (LOPDGDD) “Los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022.”
De este modo, resulta que todos los contratos de encargo de tratamiento deben estar renovados, recogiendo todos los requisitos del artículo 28 del RGPD para el 25 de mayo del presente año.
Si su empresa no tiene la certeza de que todos sus contratos cumplen con todos los requisitos, debería encargar una revisión de los mismos. Si precisa ayuda para ello, no dude en consultar con el equipo de protección de datos de Sammos Legal Abogados.
Recordemos que un Encargado de Tratamiento, según el RGPD, es: “la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento”.
En otras palabras, entre otros, los Encargados de Tratamiento más habituales para la mayoría de las empresas suelen ser:
-
- Los abogados que tratan infinidad de datos personales de sus clientes, empleados y proveedores.
- La gestoría que nos gestiona las nóminas y los contratos laborales.
- El informático o la empresa que realiza el mantenimiento de los ordenadores y el software.
- Las empresas que participan en acciones de marketing y ventas con datos de clientes (como el envío de e-mails, captura de formularios de la web, uso de cupones promocionales…)
- La empresa de formación de los trabajadores.
- Los profesionales independientes que realizan algunas fases del proceso operativo por cuenta de nuestra empresa, accediendo a datos de clientes, empleados y proveedores, por ejemplo.
- La empresa de archivos y de destrucción segura de ficheros y soportes de información.
- La empresa de seguridad que controla los accesos.
- La empresa de sistemas de video-vigilancia.
Así, recuerde que con estas empresas y profesionales y con cualquier otro que acceda a datos de clientes, usuarios y familiares, empleados o sus familiares, proveedores, accionistas, becarios, voluntarios, socios o miembros… de su empresa o entidad deben tener firmado un contrato de encargo de tratamiento actualizado según los requisitos del RGPD.
En SAMMOS Legal Abogados, contamos con el servicio de Delegado de Protección de Datos externo o el de asesoramiento al delegado interno y disponemos de un servicio completo de asesoramiento especializado en protección de datos. Le invitamos a que nos exponga su caso en detalle para que podamos analizarlo y asesorarle específicamente.
Sobre el autor:
Ignacio Infiesta García
Consultor, Auditor de Protección de Datos y Cumplimiento Normativo
Delegado de Protección de Datos Certificado (esquema AEPD)
Nº ISMS 2021 20 0084
Lead Auditor ISO 27001, IQNet – AENOR
Sammos Legal Abogados
Área de protección de datos y derecho digital
