Uno de los aspectos a tener en cuenta desde la entrada en vigor de la nueva normativa de protección de datos, era la firma de los contratos de Encargado de Tratamiento.
Esta indicaba que todos aquellos contratos celebrados antes del 25 de mayo de 2018 siguiendo con el indicado en el artículo 12 de la LOPD, serían vigentes hasta la fecha que señalada, en caso de ser indefinidos, hasta el 25 de mayo de 2022.
El encargado de tratamiento, quien es?
Es la persona física o jurídica, servicio, autoridad pública u otro organismo escogido por el Responsable de Tratamiento que tiene derecho al tratamiento de los datos con unos fines determinados.
Para hacer la elección del encargado, se comprueba que ofrece garantías de cumplimiento de la normativa.
Diferencia entre el Responsable y el Encargado
El responsable es quien decide sobre la finalidad y medios del tratamiento de la información, en cambio el encargado sigue las instrucciones del responsable para realizar su tratamiento.
La propia AEPD se ha pronunciado indicando casos, que a priori parecen encargados de tratamiento e indica que no son ET sino que son responsables, por ejemplo: los auditores contables y las empresas de transporte y mensajería.
En el caso de los auditores contables se fundamenta que actúan como una figura autónoma y no reciben instrucciones de quienes los contrata.
En el caso de las empresas de mensajería, los datos se facilitan a la empresa y se incorporan a su base de datos para realizar la entrega al destinatario.
Contenido del contrato de Encargado de Tratamiento:
A través de un contrato o acto jurídico válido, se establecerá la relación entre Responsable y Encargado, que tendrá que establecer el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales tratados, categorías de interesados y las obligaciones y derechos del responsable.
Si el Encargado no tiene la autorización previa del responsable, este no podrá subcontratar el servicio a un tercero sin su autorización.
En caso de subcontratación, la empresa tiene que tener el mismo contrato o acto jurídico con las mismas obligaciones que las pactadas entre el Responsable y el Encargado. Si el subcontratado no cumple la normativa, será el Encargado la persona responsable a dar respuesta.
Encargado de Tratamiento fuera de la UE
En el caso de comunicaciones de datos personales fuera de la UE, se tiene que continuar garantizando el nivel de protección establecido en este Reglamento.
En este punto, hay que mencionar el caso de los EE. UU., con quienes hasta finales de julio de 2020 se realizaron las transferencias internacionales de datos en base al “Privacy Shield” hasta que fue invalidado. Desde entonces, ningún otro acuerdo ha legalizado estas transferencias, y hasta ahora, la UE y los EE. UU. han llegado a un acuerdo para crear un reglamento que cumpla los estándares de privacidad establecidos en el Reglamento Europeo de Protección de Datos.
