Contrato de encargado de tratamiento

Contrato de Encargado de Tratamiento bajo el Artículo 28 del Reglamento Europeo de Protección de Datos 

El Reglamento General de Protección de Datos (RGPD) de la Unión Europea ha implementado una serie de regulaciones estrictas para garantizar la protección de los datos personales. Entre estos reglamentos, el Artículo 28 destaca por su enfoque en los contratos de encargado de tratamiento de datos. Estos contratos son un requisito esencial cuando un responsable del tratamiento externaliza alguna parte de su actividad y, en ese proceso, transfiere datos personales a un tercero.

Qué es un Encargado de Tratamiento

Un encargado de tratamiento es una persona física o jurídica, autoridad pública, agencia u otro organismo que trata datos personales en nombre del responsable del tratamiento. El encargado de tratamiento puede ser cualquier tercero al que se le transfieran datos personales, desde proveedores de TI hasta servicios de marketing, empresas de recursos humanos, entre otros. 

Según el Artículo 28 del RGPD, cualquier tratamiento de datos personales por parte de un encargado de tratamiento debe ser gobernado por un contrato u otro acto jurídico en virtud del derecho de la Unión o de los Estados miembros. Este contrato o acto jurídico vincula al encargado de tratamiento con el responsable del tratamiento e impone ciertas obligaciones sobre el primero.

Contenido del Contrato de Encargado de Tratamiento: Las Cláusulas Esenciales

De acuerdo con el Artículo 28, el contrato de encargado de tratamiento debe incluir, al menos, las siguientes cláusulas:

Objeto, duración, naturaleza y finalidad del tratamiento: Esta cláusula describe los detalles específicos del tratamiento de datos que se llevará a cabo.

Tipos de datos personales y categorías de interesados: Esta sección proporciona detalles sobre los datos que se procesarán y las categorías de personas cuyos datos se tratan.

Obligaciones y derechos del responsable del tratamiento: Estas son las responsabilidades y derechos del responsable del tratamiento en relación con el tratamiento de los datos.

Obligaciones del encargado de tratamiento: Entre estas obligaciones se incluye tratar los datos personales solo según las instrucciones documentadas del responsable del tratamiento, garantizar la seguridad de los datos personales, ayudar al responsable del tratamiento en el cumplimiento de sus obligaciones bajo el RGPD, y eliminar o devolver los datos personales al final de la prestación de servicios.

Subcontratación: Si el encargado de tratamiento recurre a otro encargado (subcontratista) para llevar a cabo actividades de tratamiento específicas, esto debe ser objeto de autorización previa y específica por parte del responsable del tratamiento.

Seguridad de los datos y notificación de las violaciones de seguridad: El encargado de tratamiento debe implementar medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos y notificar al responsable del tratamiento sin demora indebida después de conocer una violación de datos personales.

Conclusión

El contrato de encargado de tratamiento es una herramienta esencial para garantizar el cumplimiento del RGPD cuando se externaliza el tratamiento de datos personales. Además de ser un requisito legal, un contrato bien redactado y detallado puede ayudar a evitar malentendidos, establecer expectativas claras y proteger a ambas partes en caso de incumplimiento.