Com us avancem quan va entrar en vigor la nova normativa de protecció de dades, un dels aspectes que s’havia de tenir en compte era la signatura dels contractes d’Encarregat de Tractament. La norma va indicar que els contractes subscrits abans del 25 de maig de 2018 seguint amb l’indicat en l’article 12 de la LOPD, serien vigents fins a la data assenyalada en els mateixos o, en cas de ser indefinits, fins al 25 de maig de 2022.
Índex
1. Qui és Encarregat de Tractament?
2. Quin contingut té el contracte d’Encarregat de Tractament?
3. Encarregat de Tractament fora de la UE
4. Conclusió
Aquesta data està cada vegada més a prop i per a poder ajudar-vos a complir amb la normativa, en les següents línies veurem qui és encarregat de tractament i, per tant, signar el contracte d’Encarregat del tractament, que aspectes ha de regular aquest contracte i que passa amb l’encarregat del tractament quan està ubicat fora de la UE.
1. Qui és Encarregat de Tractament?
L’Encarregat de Tractament és la persona física o jurídica, autoritat pública, servei o un altre organisme, triat pel Responsable del Tractament per a tractar les dades amb uns fins determinats. Per a la seva elecció es comprovarà que ofereix suficients garanties de compliment de la normativa actual.
Per a ajudar a diferenciar la figura del Responsable i de l’Encarregat, s’ha de tenir en compte que el primer és qui decideix sobre la finalitat i medis del tractament de la informació i el segon segueix les seves instruccions per a realitzar el tractament.
Com exemples d’Encarregats de Tractament tenim les empreses que presten el servei de videovigilància, les gestories fiscals, laborals i comptables, les mpreses de manteniment informàtic de programari, etc.
Hem d’esmentar, determinats casos en què, a priori, semblen encarregats del tractament, però la pròpia AEPD s’ha pronunciat al resptecte indican que no son ET: son els casos dels auditors comptables i les empreses de transport i missatgeria no són Encarregats de Tractament, són responsables. En el cas dels auditors comptables es fonamenta en què aquests actuen com una figura autònoma i no reben instruccions de qui els contracta. En el cas de les empreses de missatgeria es fonamenta en què les dades que es faciliten a l’empresa s’incorporen a la seva base de dades per a realitzar el lliurament al destinatari.
2. Quin contingut té el contracte d’Encarregat de Tractament?
La relació entre Responsable i Encarregat s’establirà per un contracte o acte jurídic vàlid en dret, aquest haurà d’establir l’objecte, la durada, la naturalesa i la finalitat del tractament, el tipus de dades personals tractats i les categories d’interessats i les obligacions i drets del responsable.
L’Encarregat no podrà subcontractar el servei a un tercer sense l’autorització prèvia del responsable, que haurà de ser avisat per si es vol oposar. En cas de conducta amb la subcontractació, aquesta empresa haurà de tenir un contracte o acte jurídic vinculant amb les mateixes obligacions que les estipulades entre el Responsable i l’Encarregat. En cas d’incompliment per part del subcontractat, l’Encarregat serà qui respondrà.
3. Encarregat de Tractament fora de la UE
En el cas de trobar-nos amb una comunicació de dades personals anés de la UE s’ha de continuar garantint el nivell de protecció que estableix el Reglament. Per a fer-lo ens podem trobar amb les següents situacions:
- Transferència basada en una decisió d’adequació de la comissió.
- Normes corporatives vinculants.
- Aportació de les garanties adequades.
- Excepcions per a situacions específiques.
- Autorització expressa de l’AEPD.
En aquest punt hem d’esmentar el cas dels EUA, amb qui fins a juliol de 2020 es realitzaven les transferències internacionals de dades sobre la base del “Privacy Shield” fins que aquest va ser invalidat. Des d’aquest moment no hi havia hagut cap altre conveni que legitimi aquesta transferència , fins ara, que la UE y los EUA han arribat a un pacte per realitzar una regulació que permeti complir amb els estàndards de privacitat recollits en la normativa europea de protecció de dades.
En conclusió,
El termini per a signar els contractes amb els Encarregats de Tractament arriba a la seva fi, per la qual cosa heu de comprovar si teniu o no els contractes signats, amb base en el RGPD, haureu de corroborar amb tots els vostres encarregats la signatura d’aquest tipus de contractes.
Estem a la vostra disposició per a qualsevol dubte sobre aquest tema.
L’equip de PymeLegal.