Un dels aspectes a tenir en compte des de l’entrada en vigor de la nova normativa de protecció de dades, era la signatura dels contractes d’Encarregat de Tractament.
Aquesta indicava que tots aquells contractes subscrits abans del 25 de maig de 2018 seguint amb l’indicat en l’article 12 de la LOPD, serien vigents fins la data que assenyalada, en cas de ser indefinits, fins al 25 de maig de 2022.
L’encarregat de tractament, qui és?
És la persona física o jurídica, servei, autoritat pública o un altre organisme escollit pel Responsable de Tractament que té dret al tractament de les dades amb uns fins determinats. Per fer l’elecció de l’encarregat, es comprova que ofereix garanties de compliment de la normativa.
Diferència entre el Responsable i l’Encarregat
El responsable és qui decideix sobre la finalitat i medis del tractament de la informació, en canvi l’encarregat segueix les instruccions del responsable per realitzar-ne el seu tractament.
La pròpia AEPD s’ha pronunciat indicant casos, que a priori semblen encarregats de tractament i indica que no són ET sinó que són responsables, per exemple: els auditors comptables i les empreses de transport i missatgeria.
En el cas dels auditors comptables es fonamenta que actuen com una figura autònoma i no reben instruccions de qui els contracta.
En el cas de les empreses de missatgeria, les dades es faciliten a l’empresa i s’incorporen a la seva base de dades per a realitzar el lliurament al destinatari.
Contingut del contracte d’Encarregat de Tractament:
A través d’un contracte o acte jurídic vàlid, s’establirà la relació entre Responsable i Encarregat, que haurà d’establir l’objecte, la durada, la naturalesa i la finalitat del tractament, el tipus de dades personals tractats, categories d’interessats i les obligacions i drets del responsable.
Si l’Encarregat no té l’autorització prèvia del responsable, aquest no podrà subcontractar el servei a un tercer sense la seva autorització.
En cas de subcontractació, l’empresa ha de tenir el mateix contracte o acte jurídic amb les mateixes obligacions que les pactades entre el Responsable i l’Encarregat. Si el subcontractat no compleix la normativa, serà l’Encarregat la persona responsable a donar resposta.
Encarregat de Tractament fora de la UE
En el cas de comunicacions de dades personals fora de la UE, s’ha de continuar garantint el nivell de protecció establert en aquest Reglament.
En aquest punt, cal esmentar el cas dels EUA, amb qui fins a finals de juliol de 2020 es van realitzar les transferències internacionals de dades sobre la base del “Privacy Shield” fins que va ser invalidat. Des d’aleshores, cap altre acord ha legalitzat aquestes transferències, i fins ara, la UE i els EUA han arribat a un acord per crear un reglament que compleixi els estàndards de privadesa establerts en el Reglament Europeu de Protecció de Dades.
Necessites més informació? Contacta amb nosaltres!