Al amparo de lo dispuesto en la Disposición transitoria quinta de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (“LOPD-GDD”) los contratos de encargado del tratamiento suscritos conforme a la anterior Ley Orgánica de Protección de Datos (“LOPD”) con anterioridad al 25 de mayo de 2018, fecha de entrada en aplicación del Reglamento europeo de Protección de datos personales (“RGPD”), solo mantendrían su vigencia por el plazo de duración pactado en los mismos y, si se pactaron de forma indefinida, solo hasta el 25 de mayo de 2022, sin que sean válidas las remisiones genéricas al artículo de la norma europea que los regula.
Así pues, todos los contratos con encargados de tratamiento concluidos con anterioridad a la referida fecha que no hayan sido adaptados al RGPD y LOPD-GDD, no están vigentes al día de hoy.
Teniendo en cuenta que es obligatorio que este tipo de contratos sean celebrados por escrito (no siendo posible, por tanto, los contratos verbales), las empresas que no hayan realizado las mencionadas labores de adaptación deben, con carácter inmediato dentro de sus procesos de cumplimiento normativo, analizar cada uno de los contratos con sus proveedores para verificar si implican tratamientos de datos personales y, en ese caso, acomodarlos al RGPD.
No todos los prestadores con acceso a datos personales de la empresa serán encargados del tratamiento (podemos estar ante supuestos de corresponsabilidad o de cesión de datos) por lo que ese proceso de revisión permitirá inventariar e identificar correctamente la situación jurídica de cada uno de ellos para poder conocer donde existe riesgo de incumplimiento y sanción para la empresa.
Esta obligación de actualización de los contratos con los encargados del tratamiento tiene una especial importancia en el ámbito de las medidas de seguridad, pues la regulación y el enfoque del RGPD en esta materia difiere radicalmente de la prevista en la antigua normativa.
A ello ha de añadirse que, en aplicación del principio de responsabilidad proactiva que el RGPD impone a todas las empresas (y a los autónomos) bajo cuya responsabilidad sus subcontratistas traten datos personales, deben evaluar no solo los contratos con sus proveedores sino a los propios proveedores pudiendo elegir solo a aquellos que ofrezcan garantías de que respetarán los derechos y libertades de los interesados en el tratamiento de los datos personales.
Esta evaluación de proveedores debe ser obligatoriamente periódica, y no solo en el momento de la contratación de los servicios, debiendo conservarse evidencias de su realización a disposición de la autoridad de control de protección de datos (Agencia Española de Protección de Datos).
Desde DIKEI ABOGADOS podemos ayudar a empresarios y autónomos a cumplir con la normativa de protección de datos.
Escrito por: Cristina Martín Sánchez
Para acceder a otros de nuestros artículos, entre en nuestro blog.
Y si necesita cualquier información adicional sobre este u otro asunto, no dude en contactarnos a través del correo abogados@dikei.com o del número de teléfono +34 91 308 60 60