ACUERDOS ESCRITOS
Concluir un Acuerdo de Procesamiento de Datos Personales
Es importante celebrar un Acuerdo de procesamiento de datos personales (DPA) cuando un controlador contrata a un procesador de datos. Un acuerdo de procesamiento de datos debe ser por escrito de acuerdo con las reglas del GDPR.
¿Quién puede ser un procesador de datos?
- personas físicas, como un comerciante individual;
- Personas jurídicas, como una sociedad de responsabilidad limitada o una sociedad de responsabilidad limitada;
- Autoridades públicas;
- Instituciones;
- Otros cuerpos.
¿Cuándo deben las empresas celebrar un acuerdo de procesamiento de datos?
Hay dos situaciones diferentes en las que las empresas deben celebrar un acuerdo de procesamiento de datos:
1. Contratación de un procesador
Cuando un controlador contrata a un procesador. Por ejemplo, si una empresa contrata a una empresa de contabilidad para administrar la contabilidad diaria en nombre de la empresa.
2. Contratación de un subprocesador
Cuando un procesador a su vez contrata a otro procesador de datos personales. A menudo denominado «subencargado del tratamiento de datos personales» o abreviado «subencargado del tratamiento». Por ejemplo, si una empresa cliente, como controlador de datos, contrata a una empresa de desarrollo que es un procesador de datos para desarrollar y operar una aplicación móvil en nombre de la empresa cliente. La empresa de desarrollo, a su vez, contrata a una empresa de consultoría si necesitan un consultor externo con experiencia de vanguardia para el cumplimiento de la tarea. La empresa de consultoría se convierte entonces en un subprocesador de la empresa de desarrollo.
Tenga en cuenta que los acuerdos de procesamiento de datos deben ser por escrito para que sean válidos en virtud del artículo 28, apartado 3, del RGPD.
Ejemplos comunes de cuando las empresas suelen contratar a un procesador de datos
Firma de contabilidad
Cuando una empresa contrata a una empresa de contabilidad para manejar, por ejemplo, la gestión salarial de la empresa, la contabilidad continua y la contabilidad.
Servicios en la nube
Si una empresa utiliza servicios en la nube para almacenar datos personales.
Desarrollador
Si una empresa quiere construir una aplicación móvil y contrata a una empresa de desarrollo que procesa datos personales dentro del alcance de la asignación en nombre de la empresa.
Qué debe garantizar un acuerdo de procesamiento de datos
Un acuerdo de tratamiento de datos garantizará que tanto el responsable como el encargado del tratamiento:
- Cumplir con GDPR.
- Son conscientes de sus obligaciones en virtud del RGPD, tanto entre sí como con los interesados.
- Proteger los datos personales que se procesan. Esto se aplica a los datos personales de, por ejemplo, clientes, personal y otras categorías de interesados.
- Documenta su cooperación y el trabajo de GDPR, con el fin de demostrar que las partes cumplen con el GDPR de acuerdo con el principio fundamental de responsabilidad de protección de datos.
Además, el Acuerdo de tratamiento de datos debe contener al menos los requisitos mínimos establecidos en el artículo 28 del RGPD. De lo contrario, el acuerdo corre el riesgo de ser considerado inválido o deficiente y, por lo tanto, infringir las reglas del GDPR.
Ejemplos de contenido necesario en un acuerdo de procesamiento de datos
Finalidad
Debe quedar claro cuál es la finalidad del tratamiento.
Fecha límite
Cuánto tiempo debe tener lugar el tratamiento, cuándo debe finalizar, etc. También es posible regular plazos más específicos que los establecidos en el RGPD. El RGPD a veces establece que algo debe suceder «sin demora indebida». En tales casos, las partes contratantes podrán optar por acordar que la medida en cuestión tenga lugar en un plazo de «24 horas».
Categorías
Los tipos de datos personales en cuestión, como los datos personales ordinarios, los datos personales sensibles u otros datos personales sensibles a la privacidad. También indicará la categoría de interesados a los que se refiere el tratamiento. Por ejemplo, si se trata de un grupo adicional digno de protección, como niños o enfermos, usuarios, clientes, empleados, etc.
Derechos y obligaciones
Los derechos y obligaciones del responsable y del encargado del tratamiento, respectivamente. También es importante regular los términos comerciales que no se ven afectados por GDPR. Por ejemplo, si el procesador tiene derecho a una compensación por su prestación de asistencia en virtud del Acuerdo de procesamiento de datos.
Subprocesador
¿Qué condiciones se aplican si el procesador contrata a un subprocesador de datos personales? Las condiciones varían, dependiendo de si el responsable del tratamiento ha optado por dar una autorización previa por escrito específica o general en relación con el uso por parte del encargado del tratamiento de otro encargado del tratamiento.
Confidencialidad
De conformidad con el artículo 28, apartado 3, letra b), del RGPD, el Acuerdo de tratamiento de datos debe incluir una disposición por la que el encargado del tratamiento garantice que las personas autorizadas para tratar los datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a un deber legal de confidencialidad adecuado. Esto se aplica no solo a su propio personal, sino también a los consultores y otras personas que pueden acceder a los datos personales a través del procesador.
Auditorías
El encargado del tratamiento proporcionará al responsable del tratamiento acceso a toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el RGPD. Además, el encargado del tratamiento permitirá y contribuirá a las auditorías llevadas a cabo por el responsable del tratamiento o por otro auditor designado por el responsable del tratamiento. Esto debe regularse explícitamente en el contrato.
Resolución del contrato
Qué pasará con los datos personales cuando finalice el acuerdo. El responsable del tratamiento tiene derecho a decidir si el encargado del tratamiento debe devolver o eliminar los datos personales, así como en qué plazo y cómo debe hacerse.
La Comisión Europea ha publicado las «Directrices 07/2020 sobre los conceptos de responsable y encargado del tratamiento en el RGPD», que contienen más recomendaciones y directrices sobre el contenido de un acuerdo de tratamiento de datos.
El responsable del tratamiento dará instrucciones por escrito al encargado del tratamiento.
De conformidad con el artículo 28, apartado 3, letra a), del RGPD, los encargados del tratamiento solo pueden tratar datos personales de conformidad con las instrucciones impartidas por el responsable del tratamiento, a menos que el tratamiento sea necesario en virtud del Derecho de la Unión o del Derecho nacional de uno de los Estados miembros. Si un procesador procesa los datos personales en violación de las instrucciones escritas, el procesador puede tener la misma responsabilidad que si fuera un controlador.
Las instrucciones pueden estar establecidas en el Acuerdo de procesamiento de datos, pero no es una necesidad. En cambio, es posible elaborar instrucciones separadas en anexos que complementen el acuerdo. A menudo es más fácil ajustar y actualizar las instrucciones si se formulan en un anexo del Acuerdo de procesamiento de datos. Por lo tanto, es nuestra recomendación redactar las instrucciones en un apéndice de instrucciones, en lugar de incrustarse en el Acuerdo de procesamiento de datos como tal.
APRENDE MÁS
Informar a los interesados a través de un aviso de privacidad
Los interesados serán siempre informados del tratamiento de sus datos personales. Esto generalmente se hace a través de un aviso de privacidad. Las empresas suelen tener su aviso de privacidad publicado en su sitio web. Debe indicar, entre otras cosas, cuál es la finalidad del tratamiento, cuánto tiempo durará el tratamiento, qué derechos tienen los interesados, si la empresa tiene un posible delegado de protección de datos, etc.