¿Sabías que antes del 25 de mayo de 2022 se deberá tener los contratos de encargado del tratamiento actualizados al Reglamento UE?
Esta actualiza de los contratos de encargado de tratamiento es necesario para cumplir con la protección de datos
Según lo establecido en la Disposición transitoria quinta. Contratos de encargado del tratamiento. Los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida. Hasta el 25 de mayo de 2022.
Durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el artículo 28 del Reglamento (UE) 2016/679 y en el Capítulo II del Título V de esta ley orgánica.
En la línea de lo anterior; podemos observar que la propia normativa nos marca una fecha límite para adaptar todos los contratos y actualizarlos a los cambios normativos de los últimos 2 años. Por lo que; todos los contratos realizados antes del 25 de mayo de 2018 se deberán actualizar con posterioridad a la fecha límites 25 de mayo de 2022.
¿Qué debemos tener en cuenta para su actualización?
En el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo; de 27 de abril de 2016, se estipula en su capítulo IV todo el contenido relativo al Responsable del tratamiento y al Encargado del tratamiento.
En primer lugar; debemos diferenciar entre la figura de Responsable de tratamiento y la figura de Encargado de tratamiento.
- Responsable de tratamiento (Art. 4.7 del Reglamento UE) –> La persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembro.
- Encargado de tratamiento (Art. 4.8 del Reglamento UE) –> la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.
En conclusión; un Encargado del Tratamiento es aquel proveedor que al prestar un servicio por encargo del Responsable del Tratamiento, accede a datos de carácter personal bajo las instrucciones del Responsable del Tratamiento.
Pongamos un ejemplo: Cuando una entidad contrata a una asesoría laboral para la elaboración de las nóminas, la entidad adquiere la figura de Responsable del Tratamiento y la asesoría de Encargada del Tratamiento.
En segundo lugar, el Responsable del Tratamiento. Antes de contratar los servicios a un Encargado de Tratamiento; deberá tener la diligencia de elegir únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas. De manera que el tratamiento sea conforme con los requisitos del Reglamento UE y garantice la protección de los derechos del interesado.
Esta diligencia, se regula a través del artículo 24.1 del Reglamento UE:
- Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.
Estas medidas de protección de datos se deben aplicar con anterioridad a la contratación de un Encargado del Tratamiento; con la finalidad de velar por los principios de confidencialidad, disponibilidad e integridad de la información de carácter personal.
En tercer lugar; una vez diferenciadas las dos figuras, debemos tener en cuenta que la relación entre ambas figuras. Deberá debe regirse por un contrato u otro acto jurídico que vincule al encargado con el responsable, conforme lo estableció en el artículo 28 del Reglamento UE. Y deberá contener, como mínimo; el objeto, la duración del contrato, la naturaleza, la finalidad del tratamiento, la categoría de los interesados y la tipología de datos personales. Así como las obligaciones y los derechos.
Déjanos tu mensaje y nos pondremos en contacto contigo lo antes posible
Contacto
También puedes contactar con nosotros por teléfono, email y redes sociales.