Para entender mejor esta entrada sobre Contrato de Encargo de Tratamiento ¿A quién corresponde su redacción? le recomendamos que lea previamente el contenido del Artículo 28 y siguiente del RGPD.
TRAMA:
El tratamiento u «…operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales…» es actividad propia del Responsable; no obstante –por las razones que éste considere- dicho tratamiento puede ser delegado a un tercero denominado Encargado del Tratamiento. Dicho sea de paso, esta relación, debe quedar reflejada mediante el debido Acto Jurídico Documentado: el Contrato de Encargo.
Conscientes, por sí y por nuestros clientes, con esta entrada se pretende:
- Poner en tela de juicio la validez de la práctica extendida que algunos Encargados de Tratamiento están asumiendo como propia: Tomar la iniciativa de Redactar –bajo su responsabilidad- el Contrato de Encargo de Tratamiento con el Responsable del Tratamiento.
Esta práctica se ha detectado, al menos, en el siguiente sector de actividad:
Proveedores de servicios Web -hosting, dominios, servicios email…-
Ante la más que probable duda que lo anterior sea correcto, Perkins Human Media, busca razonadamente una respuesta clarificadora: a) Según lo dispuesto en el Reglamento (RGPD) y b) con la propia opinión –Call Center- de la Autoridad de Control Española; A tenor de la práctica extendida surge…Contrato de Encargo de Tratamiento ¿A quién corresponde su redacción? - A resulta de lo anterior: «desmontar» esta práctica que a priori resulta indebida.
ACTORES:
Aunque ya se haya hecho una breve referencia a éstos, es conveniente argumentar el rol de cada cual en esta relación contractual.
Base jurídica como argumento: los apartados 7 y 8 del artículo 4 del RGPD; entre otros aspectos, nos pone de manifiesto que:
En cuanto al Responsable: «…determine los fines y medios del tratamiento…» o lo que es lo mismo, asume por ley la responsabilidad de definir para qué se van a utilizar los Datos de Carácter Personal y que medios va a poner en práctica para tratarlos.
En cuanto al Encargado: «…trate datos personales por cuenta del responsable del tratamiento…». De ésto se deduce que el Encargado (según el artículo 28 del RGPD) es nombrado por el primero y se pone a su disposición a tal efecto.
ARGUMENTOS:
Evidentemente hay dos partes que deben de defender sus tesis, veamos:
Por parte del Encargado
Reconocen (textualmente) que:
- «…Entendemos que nuestros clientes, especialmente nuestros clientes europeos, requieran que (El Encargado) ejecute nuevos términos que cumplan con el nuevo reglamento europeo UE 2016/679…»
- «…Confirmarle que, con el objetivo de adecuarnos a la nueva normativa, hemos modificado la cláusula de protección de datos personales de las condiciones de contratación, para ofrecerle todas las garantías que sus datos están seguros…»
Entonces como se justifica el Encargado ¿Dónde está el argumento en cuanto a que la iniciativa es suya? La respuesta recibida es la siguiente: «Debido a la imposibilidad de atender cientos de contratos de distintos clientes y de unificar el criterio según las necesidades concretas de nuestros servicios, lamentamos comunicarles que no aceptamos los contratos de encargado de tratamiento de los clientes…»
Por parte del Responsable
- Artículo 28.1 del RGPD: «éste (el Responsable) elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados». Luego la iniciativa de contratación será del Responsable
- Artículo 28.10 del RGPD «… si un encargado del tratamiento infringe el presente Reglamento al determinar los fines y medios del tratamiento, será considerado responsable del tratamiento con respecto a dicho tratamiento…». El Encargado (como es el caso) pierde su condición y adquiere la de Responsable. En este caso ya no es una prestación de servicios sino una cesión de datos (A lo que obliga al nuevo Encargado a legitimarse en el tratamiento. Artículo 6 del RGPD).
- Lo indicado en el artículo 29 del RGPD acerca de Tratamiento bajo la autoridad del responsable o del encargado del tratamiento:
«El encargado del tratamiento y cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo podrán tratar dichos datos siguiendo instrucciones del responsable…», - En la FAQ de la autoridad de Control: 3.6.3.- ¿Cuál sería el contenido del contrato de encargo de tratamiento? En este aspecto, mención a parte de los contenidos del contrato, expresa especialmente que: la «…Obligación del encargado de tratar los datos personales únicamente siguiendo instrucciones documentadas del responsable…»
CONCLUSIÓN:
1º La razón más acertada (para responder a la cuestión suscitada) la podemos encontrar en la línea de argumentos del Responsable (apartado número 4); Como se puede apreciar, remarcamos: «… siguiendo instrucciones documentadas del responsable…»
Luego la respuesta a nuestra pregunta es que la iniciativa debe de partir del Responsable del Tratamiento con respecto a quién se debe la iniciativa de celebración de encargo.
Fuente-Información: © Perkins Human Media; © Noticias Jurídicas © agpd.es
Fuente-Foto: © de su autor – © publicación