TU NEGOCIO EN LAS MANOS DE PROFESIONALES

Cambios en contratos de protección de datos

 

Si su empresa contrata a un tercero para que le preste un servicio que comporta acceder a datos personales, es obligatorio que firmen un contrato por escrito. Además, en esta materia hay cambios a partir del próximo 25 de mayo en relación con nuevo Reglamento General de Protección de Datos (RGPD).

Servicios con acceso a datos
La normativa protege los datos personales (cualquier información que identifica o hace posible la identificación de una persona física: su nombre y apellidos, DNI...). Y por eso se establecen una serie de obligaciones que su empresa debe cumplir cuando obtenga y trate datos personales:

  • Una de estas obligaciones se aplica cuando usted contrata a un tercero para que le preste un servicio para el cual es necesario acceder a datos personales que tiene su empresa.

Esto sucede muy frecuentemente. Por ejemplo, cuando contrata a una gestoría para que confeccione las nóminas de sus empleados, o a una empresa de informática para que se encargue del mantenimiento de sus ordenadores. En estos casos, su empresa es la “responsable” del tratamiento de los datos, y el tercero que accede a éstos para prestarle el servicio es el “encargado” del tratamiento. Ahora ya es obligatorio que ambas partes suscriban un acuerdo de protección de datos. Pero a partir del 25 de mayo se aplica un nuevo reglamento europeo que introduce ciertas modificaciones.

¿Qué obligaciones tiene?
Lo primero que debe hacer es elegir a encargados que ofrezcan garantías de cumplir la normativa de protección de datos. Dado que aún no existe una certificación o código de conducta para acreditar este extremo, exija que el encargado se comprometa (en el contrato indicado) a cumplir el nuevo reglamento, y pídale un documento firmado por el asesor que le lleve estos temas conforme cumple esta normativa.

A partir del próximo mes de mayo también hay cambios con relación al contenido del contrato a firmar en estos casos. En dicho contrato (que debe constar por escrito) se debe indicar, entre otros extremos:

  • Que los datos sólo se tratarán conforme a las instrucciones del responsable del fichero o del tratamiento y que no se utilizarán con un fin distinto al establecido en el contrato.
  • Que los datos no se comunicarán, ni para su conservación, a otras personas, y que quienes los traten respetarán su confidencialidad. También se debe establecer qué medidas de seguridad debe poner en marcha el encargado.

El siguiente paso
Vea en http://apuntesyconsejos-susociedad.es/descarga, referencia ED 17.20.03, el modelo de contrato entre responsable y encargado publicado por la AEPD y una relación de las menciones que a partir de ahora hay que incluir en él.

Contratos firmados
Por tanto, si contrata a un tercero para que le preste un servicio que implique acceso a datos firme este contrato según las exigencias de la nueva normativa. Respecto a los contratos que ya tenga firmados:

  • El proyecto de nueva ley española de protección de datos (que está previsto que entre en vigor antes del 25 de mayo) establece que los contratos firmados antes del 25 de mayo seguirán vigentes hasta su vencimiento; y si el contrato es de duración indefinida (como sucede en muchos casos), hasta mayo del año 2022.

No obstante, es aconsejable que adapte ya dichos contratos a las nuevas exigencias (firmando un nuevo contrato o un anexo que recoja los cambios indicados). Sólo puede contratar a empresas que ofrezcan garantías de cumplir la normativa de protección de datos. Además, a partir de ahora se modifica el contenido que deben tener estos contratos.

Compartir: