En el marco de una relación mercantil cliente – proveedor es habitual que la empresa proveedora requiera realizar tratamientos de datos personales que se encuentran bajo la responsabilidad de la empresa cliente para poder prestar los servicios contratados.
En estos casos, el artículo 28 del RGPD exige la suscripción de un contrato que comúnmente se denomina acuerdo de encargo del tratamiento o DPA por sus siglas en inglés (data processing agreement). Este acuerdo ha de establecer el objeto, alcance y condiciones que regularán el tratamiento bajo las instrucciones del responsable de los datos, la empresa cliente.
En el artículo de hoy vamos a exponer los principales aspectos a tener en consideración a la hora de negociar o revisar este tipo de contratos.
Contratos de encargado de tratamiento
1- Descripción del tratamiento:
Este punto es crítico y no importa la postura de nuestro cliente a la hora de revisar el contrato. Esta actividad siempre ha de recaer sobre el responsable del tratamiento. Definir el tratamiento aporta el control sobre dicho tratamiento, lo cual, desde el punto de vista de la responsabilidad contractual interesa a ambas partes que recaiga sobre el responsable del tratamiento.
En la práctica, no es extraño que la descripción de los fines del tratamiento consista en una remisión genérica al objeto del contrato de prestación de servicios o a la hoja de pedido, sin embargo, es importante asegurar que en la suma de los documentos quedan también acotadas las categorías de interesados y tipología de datos que serán objeto del tratamiento.
2- Plazos que se deben contemplar:
Con carácter general es necesario tener en consideración tres plazos:
- la duración del contrato, que suele ligarse al del contrato principal;
- el plazo de remisión de solicitudes de derechos del encargado al responsable; y
- el plazo de notificación de la detección de una brecha de seguridad por parte del encargado.
Los dos últimos plazos, por supuesto, interesa modularlos según los intereses de la parte del contrato que defendamos. Aun con ello, no debemos olvidar que, dentro de los plazos legales, en el contrato hay que pactar plazos cuyo cumplimiento eficaz sea razonable. Así para la remisión de solicitudes de derechos un plazo de 3 – 5 días hábiles sería apropiado y, para la notificación de brechas de seguridad, un plazo de 48 horas – 72 horas desde la detección sería justo y realista para poder comunicar la violación con información suficiente. En este sentido recordemos que la AEPD en su última guía sobre brechas de seguridad ha interpretado el artículo 33.2 del RGPD postulando que el encargado dispone de un plazo máximo de 72 horas para informar al responsable.
3- Subcontratación y transferencias internacionales:
Nuevamente, con independencia de cuál sea la parte en el contrato a la que asesoremos, es recomendable evitar fórmulas de autorización general a la subcontratación, siendo preferible dejar constancia en el contrato de la relación de subcontratistas, garantizando de ese modo que el responsable mantenga el control sobre el tratamiento encargado.
Desde el punto de vista del encargado que subcontrata, corre la responsabilidad de transmitir a sus subcontratas unos términos equivalentes a los pactados con el cliente. Este deber adquiere especial complejidad en la subcontratación de servicios cloud a grandes proveedores que para la prestación de estos servicios normalmente subcontratan también en numerosas empresas y, en ocasiones, realizan transferencias internacionales fuera de nuestro control. En estos casos, lo más recomendable a la hora de postular ante contratos con el sector público o a RFP del sector privado es tener claro el escenario de cumplimiento que podemos garantizar.
4- Medidas de seguridad:
Paradójicamente, ni el RGPD ni el Comité Europeo de Protección de Datos han dado una respuesta inequívoca sobre quién debe proponer las medidas de seguridad apropiadas para garantizar la seguridad de los datos, aunque sí han mostrado su preferencia por que sea el responsable del tratamiento como figura obligada a analizar los riesgos inherentes al mismo. Con independencia de ello, el deber de validar las medidas propuestas siempre recae sobre el responsable.
5- Auditorias:
Los límites y contenido de la facultad de control sobre las actividades del encargado son siempre un punto conflictivo, pues su realización conlleva unos costes para el proyecto que interesa siempre evitar.
Las dos formas más comunes de controlar el cumplimiento de los encargados son:
- Solicitud de certificados de cumplimiento de estándares internacionales.
- Realización de auditorías por el responsable o terceros independientes sobre las actividades y sistemas del encargado.
La solicitud de certificados hay que hacerla con conocimiento de causa; pues es habitual que su alcance no contemple o contemple parcialmente los sistemas o activos de información que intervienen en la prestación del servicio, por lo que no suelen ser eficaces.
La realización de auditorías es importante detallarla, siendo razonable que sea asumida por el responsable del tratamiento, con un cierto preaviso y justificación, y que su realización no obstaculice las operaciones del encargado.
Una medida recomendable, previamente a la contratación de los servicios, es la de solicitar al encargado cumplimentar un cuestionario de autoevaluación que sirva al responsable para conocer el grado de fiabilidad del encargado.
6- Responsabilidad:
Las cláusulas de responsabilidad suelen ser un pulso entre abogados, como no puede ser de otra forma cada parte quiere barrer hacia casa. Sin embargo, lo más recomendable y rápido de negociar es pactar cláusulas de autorresponsabilidad e indemnidad a la otra parte, muy en la línea de lo dispuesto en el art.82 del RGPD.