Todos los contratos anteriores al reglamento de protección de datos deberán estar plenamente en consonancia con la normativa como máximo hasta el 25 de mayo
El próximo 25 de mayo hará ya cuatro años desde que convivimos con el Reglamento General de Protección de Datos (RGPD). En honor a ello, queremos hacer un recordatorio y animar a todas las empresas a hacer un análisis de su situación real de cumplimiento de tal Reglamento y a analizar cómo han avanzado.
Desde la entrada en vigor del reglamento, cualquier nuevo contrato que se firma o que se renueva por la prestación de algún servicio, está obligado a contemplar los compromisos que el artículo 28 del RGPD exige que consten en ellos.
¿Qué quiere decir esto? Pues que cualquier contrato con un proveedor que trate datos personales en calidad de encargado deberá estar completamente adaptado al RGPD como muy tarde el próximo día 25 de este mes de mayo.
Llegados a este momento, no se considera necesario suscribir un nuevo contrato de prestación de servicios o contrato principal si este permanece vigente. Además, también cabe la posibilidad que no se requiera tampoco un nuevo acuerdo de encargo por completo, sino que puede resultar suficiente una adenda que contenga las cláusulas necesarias para estar en total cumplimiento con el Reglamento.
De cualquier modo, es necesario recordar que el RGPD impone al responsable del tratamiento la obligación de respetar los derechos y libertades de los interesados en el tratamiento de los datos personales. Es decir, las empresas deben evaluar de forma periódica a sus proveedores que traten datos personales bajo su responsabilidad. No obstante, pese a que esta revisión debe ser de forma periódica y no solo al momento de la contratación, no existe ningún artículo en el reglamento que especifique cuál debe ser la periodicidad para ello.
Nuestra recomendación es que este proceso se realice mediante un sistema o procedimiento lo más objetivo posible y que se encuentre embebido en el proceso de homologación de proveedores, si la empresa cuenta con tal proceso.
Por otra parte, si el encargado del tratamiento se encuentra en territorio fuera del Espacio Económico Europeo que no es declarado destino seguro, deberá valorarse el riesgo de esta transferencia internacional de datos. Así, cuando esto pasa, lo que se debe hacer es seguir las evaluaciones TIA (transfer impact assessment), en donde se evalúa el riesgo asociado al exportador de los datos, a las características propias de la transferencia, al régimen legal del lugar de destino de los datos, y al importador o destinatario de los datos.
Finalmente, no se debe obviar el hecho de que la obligación recae tanto sobre el responsable como en el encargado del tratamiento de datos y que el acuerdo debe constar por escrito, ya sea en formato físico o digital.
FUENTE ADADE CENTRAL