El Contrato de Encargo de Tratamiento: Roles y Obligaciones en la Protección de Datos

En el mundo de la protección de datos, uno de los documentos más esenciales -y muchas veces olvidado- es el contrato de encargo de tratamiento. Si tu empresa trabaja con proveedores que manejan datos personales por tu cuenta, este contrato no es opcional: es obligatorio. Resumiendo, el contrato de encargo de tratamiento no es un formalismo: es una herramienta clave para garantizar la protección de los datos y cumplir con la normativa. Firmarlo a tiempo y con los contenidos adecuados protege tanto al responsable como al encargado.

¿Qué es un Contrato de Encargo de Tratamiento?

Un contrato de encargo de tratamiento es un acuerdo legal entre el responsable del tratamiento (la empresa que decide cómo y para qué se usan los datos) y el encargado del tratamiento (el proveedor que trata esos datos por encargo). Este documento establece las instrucciones que debe seguir el proveedor, cómo debe proteger los datos y qué puede -y no puede- hacer con ellos. Sirve para garantizar que el proveedor (encargado del tratamiento) cumple con las medidas necesarias para proteger los datos personales y no los utiliza para fines propios.

Las obligaciones del encargado del tratamiento con respecto al responsable deberán especificarse en un contrato u otro acto jurídico. Por ejemplo, el contrato debe indicar lo que pasará con los datos personales una vez finalizado el contrato.

Figuras Clave en la Protección de Datos

En el ámbito de la normativa de protección de datos se definen diferentes figuras según el nivel de decisión de las entidades sobre los tratamientos de datos que realizan. La relación entre las diferentes figuras se debe regular mediante un contrato.

El Responsable del Tratamiento

El responsable del tratamiento determina los fines y los medios relacionados con el tratamiento de los datos personales. De modo que, si decide «por qué» y «cómo» deberán tratarse los datos personales, usted es el responsable del tratamiento. Así, el responsable del tratamiento de datos es la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que en el ejercicio y desarrollo de su actividad trata con datos de carácter personal.

El responsable es quien tiene el control y toma las decisiones relevantes sobre el tratamiento. Además, debemos identificar si el tratamiento deriva de alguna obligación legal. Cuando esto sucede, aunque la ley no mencione expresamente a la entidad como responsable, tendrá esa consideración porque para cumplir sus obligaciones debe tratar los datos y no cabe transferir esa obligación a otro. Esta es la definición más pura de responsable del tratamiento.

El Corresponsable del Tratamiento

Usted será un corresponsable del tratamiento cuando, junto con una o más organizaciones, determine conjuntamente «por qué» y «cómo» deberán tratarse los datos personales. Los corresponsables del tratamiento deben concertar un acuerdo en el que se establezcan sus respectivas responsabilidades de cumplimiento con las normas del Reglamento general de protección de datos.

En algunos casos complejos donde el cliente duda de su propia condición de responsable del tratamiento, conviene preguntarse a favor de quién se hace el tratamiento; quizás nos encontremos con situaciones de corresponsabilidad.

El Encargado del Tratamiento

El encargado del tratamiento trata los datos personales únicamente por cuenta del responsable del tratamiento. Es un mero proveedor. Por su parte, el encargado de tratamiento de datos es también una persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que para desarrollar su actividad o prestar sus servicios, debe acceder y tratar datos personales responsabilidad del responsable. Una actividad típica de los encargados es ofrecer soluciones informáticas, como almacenamiento en la nube.

No todos los proveedores son encargados del tratamiento. Solo lo serán cuando accedan a datos personales. También cabe la posibilidad de que el tercero sea otro responsable. La mera posibilidad de acceso accidental no convierte a un prestador en encargado; por ejemplo, no tienen tal consideración, como norma general, las empresas de limpieza, como aclara el documento favorito del EDPB.

El Delegado de Protección de Datos (DPO)

Finalmente, el Delegado de Protección de Datos es un profesional con conocimientos especializados y experiencia en materia de protección de datos y en la aplicación de la normativa de protección de datos. Establece y gestiona los tratamientos de datos de la empresa u organización o profesional. Asesora y asiste a responsables y encargados en materia de protección de datos personales.

Requisitos del Contrato de Encargo de Tratamiento

La regulación de la relación entre el Responsable y el Encargado del Tratamiento debe establecerse a través de un contrato o de un acto jurídico similar que los vincule. El contrato o acto jurídico debe constar por escrito, inclusive en formato electrónico.

El Responsable del Tratamiento debe elegir únicamente encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del RGPD y garantice la protección de los derechos del interesado. Para demostrar que los encargados o subencargados ofrecen las garantías exigidas por el RGPD, éstos podrán adherirse a códigos de conducta o la posesión de un certificado de protección de datos pueden servir como mecanismos de prueba.

Distinción de Roles en la Práctica

La tarea de diferenciar las figuras de responsable y encargado del tratamiento parece sencilla en teoría, pero no lo resulta tanto en la práctica. Las “Directrices 07/2020 tratamiento y sobre los conceptos de responsable del tratamiento y encargado del tratamiento en el RGPD”, adoptadas por el EDPB el 7 de julio de 2021, son de obligada lectura.

Es importante saber que no es necesario que el responsable del tratamiento disponga de un acceso real a los datos que se estén tratando. A veces, el acceso a los datos tampoco es un requisito que defina al encargado. Por ejemplo, es posible que resulte demasiado simple cuando se contratan servicios técnicos de gran complejidad y muy estandarizados, donde el cliente, básicamente, acepta lo que le dan, sin tener ni siquiera claro qué se está haciendo con los datos.

Por lo que respecta a la determinación de los medios, cabe distinguir entre los medios esenciales y los no esenciales. Los medios esenciales se reservan tradicionalmente y de forma inherente al responsable del tratamiento. Estos deben ser determinados obligatoriamente por el responsable del tratamiento, aunque la determinación de los medios no esenciales también puede dejarse en manos de él.

Los medios esenciales están estrechamente ligados al fin y el alcance del tratamiento, y se encuentran estrechamente vinculados a la cuestión de si el tratamiento es lícito, necesario y proporcionado. Ejemplos de medios esenciales incluyen:

• El tipo de datos personales tratados («¿qué datos se tratarán?»).
• Las categorías de destinatarios («¿quién tendrá acceso a los datos?»).
• La duración del tratamiento («¿cuánto tiempo se tratarán?»).
• Las categorías de interesados («¿a quién pertenecen los datos personales tratados?»).

Criterios para la identificación del Encargado del Tratamiento

A la hora de clasificar supuestos sencillos y elegir el modelo de cláusula que va en cada contrato, se puede utilizar una guía de actuación que considere si la empresa debe acceder a datos personales para realizar su trabajo. También debemos analizar si existe alguna relación legal directa entre la empresa que queremos contratar y el titular de los datos. El encargado actúa en nombre del responsable, no en nombre propio.

• Atender un call center implica trato directo con el afectado, pero no hay vínculo legal.
• Ser responsable de una garantía de fabricante de producto, sin tener trato con el cliente final, sí genera un vínculo legal directo.

Hay una excepción muy relevante a esta norma general: Según la AEPD, un concesionario de la Administración Pública, aunque tenga contrato con el ciudadano no es responsable del tratamiento. Nuestra autoridad de control se basa en el artículo 33 de la LOPDGDD.

Ejemplos Prácticos

Gestión de Nóminas

Una cervecería que tiene muchos empleados firma un contrato con una empresa de nóminas para poder pagarles los salarios. La cervecería indica a la empresa de nóminas cuándo deben pagarse las nóminas, cuándo un empleado abandona la empresa o si tiene un aumento de sueldo, y proporciona toda la demás información sobre la nómina y el pago. La empresa de nóminas proporciona el sistema informático y conserva los datos de los empleados.

De forma similar, para la gestión de las nóminas de sus empleados y otros aspectos fiscales y legales, la Empresa Equipos Informáticos S.L. contrata a la Gestoría Clara S.L. Como para la gestión de las nóminas será necesario que la gestoría acceda y trate los datos de los empleados, la Empresa Equipos Informáticos S.L. deberá formalizar con ella un contrato de encargo de tratamiento, donde establecerá las condiciones y directrices para el tratamiento de esos datos personales.

Servicios de Alojamiento (Hosting)

La empresa A contrata el servicio de alojamiento H para guardar datos cifrados en los servidores de H. H no determina si los datos que aloja son datos personales ni trata datos en un modo diferente al mero almacenamiento en sus servidores. Puesto que el almacenamiento es un ejemplo de actividad de tratamiento de datos personales, el servicio de alojamiento H trata datos personales por cuenta de la empresa A y es, por tanto, el encargado del tratamiento. La empresa A debe proporcionar las instrucciones necesarias a H y debe celebrarse un contrato para el tratamiento de datos con arreglo a lo previsto en el artículo 28, en virtud del cual el servicio debe incluir medidas de protección técnicas y organizativas.

Corresponsabilidad en Plataformas Digitales

Su empresa presta servicios de guardería a través de una plataforma por internet. Al mismo tiempo, la empresa tiene un contrato con otra empresa que le permite ofrecer servicios de valor añadido. Esos servicios incluyen la posibilidad de que los padres no solo elijan la canguro, sino también que alquilen juegos y DVD que esta puede traer. Ambas empresas participan en los aspectos técnicos del sitio web. En este caso, las dos empresas han decidido utilizar la plataforma para ambos fines (servicios de guardería y alquiler de DVD o juegos) y a menudo compartirán los nombres de sus clientes, lo que podría indicar una corresponsabilidad.

Consecuencias del Incumplimiento

No contar con un contrato de encargo de tratamiento cuando es necesario supone una infracción del RGPD. La Agencia Española de Protección de Datos (AEPD) puede imponer sanciones, además de que se estará comprometiendo la seguridad y la trazabilidad de los datos tratados.

Ante vulneraciones de la normativa de protección de datos, responsables y encargados serán considerados responsables de las mismas (siempre que se deban a incumplimientos de las obligaciones y funciones que establece para ellos la normativa) y podrán ser sancionados en consecuencia por la AEPD.

Resumen de Roles en la Protección de Datos

Para facilitar la comprensión, presentamos un resumen de las principales figuras y sus roles en el marco del RGPD: