Modelo contrato Encargado de Tratamiento
¿Necesitas un modelo de contrato de encargado de tratamiento? No te preocupes, al final de este artículo lo puedes descargar totalmente gratis. Además, te explicamos en qué consiste este documento, cuándo se debe formalizar y qué clausulas ha de incluir.
¿Qué es el contrato de encargado del tratamiento?
El contrato de encargado de tratamiento de datos es un documento que determina larelación que une al responsable y encargado del tratamiento, y sus obligaciones en materia de protección de datos.
Este contrato establece los requisitos que ha de cumplir el encargado según lo dispuesto por el responsable, lo cual incluye las medidas de seguridad a aplicar, el respeto al deber de confidencialidad, los mecanismos a seguir para subcontratar a un subencargado, el destino de los datos una vez finalizado el servicio o la obligación de informar al responsable del tratamiento.
¿Para qué sirve un contrato de encargado de tratamiento de datos?
El contrato de encargado de tratamiento RGPD tiene como objetivo establecer las condiciones según las cuales el encargado del tratamiento, durante la prestación de los servicios encomendados, realizará el tratamiento de los datos personales por cuenta del responsable.
El encargado del tratamiento podrá tener acceso a los ficheros que incluyen datos de carácter personal, para la prestación de los servicios contratados. No obstante, la empresa responsable del fichero, seguirá teniendo bajo control los usos y fines del tratamiento.
Contenido mínimo del contrato de encargado del tratamiento
El contrato de encargado de tratamiento debe incluir una serie de cláusulas que especifiquen las responsabilidades y obligaciones, tanto del responsable como del encargado del tratamiento.
Instrucciones del responsable del tratamiento
El responsable del tratamiento ha de definir las obligaciones del encargado en cuanto al registro de las actividades de tratamiento, la base legal y finalidad del tratamiento, el plazo de conservación de los datos, la cesión de datos a terceros o las vías para que el interesado pueda ejercer sus derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.
El encargado, como responsable de la gestión de los datos a expensas de las indicaciones del responsable, debe cumplir con estas instrucciones y realizar el tratamiento de datos de manera acorde a lo estipulado en el contrato.
Deber de confidencialidad
El encargado del tratamiento ha de cumplir con el acuerdo de confidencialidad y el deber de secreto. Es decir, no podrá transmitir o ceder datos a terceros no autorizados durante el tiempo que estipule el contrato. Normalmente, este plazo de tiempo abarca incluso hasta después de finalizada la relación contractual entre encargado y responsable.
Medidas de seguridad
El contrato de encargo de tratamiento indica las medidas técnicas y organizativas que debe aplicar el encargado del tratamiento para garantizar la seguridad e integridad de los datos durante su gestión.
Régimen de Subcontratación
Por otro lado, el contrato de encargo de tratamiento de datos también establece los mecanismos para que el encargado pueda subcontratar a una persona física o jurídica para el tratamiento de datos. En este sentido, el Reglamento General de Protección de Datos establece que el encargado del tratamiento no podrá nombrar a un subencargado del tratamiento sin autorización expresa del responsable.
Derechos de los interesados
El responsable del tratamiento deberá indicar al responsable la manera en que los interesados pueden ejercer sus derechos ARCO (ARSULIPO en la LOPDGDD), esto es, los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.
Cooperación con el responsable en el cumplimiento de sus obligaciones
El artículo 28.3/e del RGPD señala que el encargado “asistirá al responsable, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados” .
Destino de los datos concluida la prestación del servicio
El contrato de encargado de tratamiento también debe indicar el destino de los datos una vez que haya finalizado la relación contractual entre responsable y encargado.
A este respecto, el artículo 28.3/g del RGPD indica que “suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros”.
El encargado del tratamiento podrá guardar una copia debidamente bloqueada de los datos, en caso de que sea necesario para la depuración de responsabilidades ante reclamaciones o denuncias derivadas de la relación contractual entre responsable y encargado del tratamiento.
Demostrar el cumplimiento al responsable
El artículo 28.3/h establece que el contrato de encargado de tratamiento obligará al encargado a poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas por el RGPD y la LOPDGDD, así como para permitir y contribuir a la realización de auditorías o inspecciones por parte del responsable o de otro auditor autorizado como la AEPD (Agencia Española de Protección de Datos).
¿Cómo y cuándo debo usarlo?
El contrato de encargado de tratamiento se debe firmar por escrito y siempre antes de que se inicie la relación entre el responsable y encargado del tratamiento.
Este contrato funciona como una especie de salvaguarda de las obligaciones de ambas partes, y podrá ser solicitado por alguna de las mismas cuando exista un presunto incumplimiento de cláusulas por la otra parte, o en caso de litigio.
¿Dónde y cómo debo guardarlo?
Debes almacenarlo en un lugar seguro, al cual solo tenga acceso el personal autorizado y siempre debes tenerlo localizado. Esto es muy importante ya que es uno de los documentos que solicitarán los agentes de la AEPD en caso de inspección.
Es recomendable hacer copias del contrato, ya que en el caso de que se produzca una pérdida del documento original se dispondría de una copia con la cual hacer frente a las solicitudes de documentación por parte de la AEPD.
El contrato se podrá almacenar en formato electrónico. Recuerda siempre disponer de una copia de seguridad actualizada con todos tus documentos y archivos.
Descarga el modelo de contrato para encargado de tratamiento de datos en nuestra web de forma totalmente gratuita.