Ahora podría parecer que entraremos a valorar otros temas de actualidad, más relacionados con el deporte y las frustraciones y futuros deseos de algunos equipos. Oímos hablar cada día de altas, bajas, nuevos contratos y posibles renovaciones… pero no es exactamente eso lo que nos toca tratar. Sí tiene que ver con contratos pero con los de los encargados de tratamientos de datos.
En uno de los últimos vestigios que todavía se mantenían en vigor de la antigua LOPD, era la vigencia de los contratos de los encargados de tratamientos, en los casos de los contratos suscritos antes del 25 de mayo de 2018. Estos debían estar vigentes hasta la fecha señalada en los contratos o, en caso de ser indefinidos2 hasta el 2.
Lo ideal es no haber llegado a ese punto sin haber movido ficha porque se evita está descubiertos. En todo caso, ahora es imprescindible una adaptación de los contratos anteriores al Reglamento General de Protección de Datos. Como es lógico, todo el nuevo contenido que regula el RGPD como evolución de la anterior normativa no se contempla adecuadamente en los contratos antiguos y es un alto riesgo para el responsable del tratamiento no tener esto bien ligado con los encargados. Han pasado cuatro años desde la entrada en vigor del RGPD y es buen momento para que cada uno eche una mirada adentro para autoevaluarse aprovechando la ocasión.
Revisamos. ¿Quién es el encargado del tratamiento? La persona física o jurídica elegida por el responsable del tratamiento para tratar los datos con unos fines determinados. Es decir: gestores, empresas de videovigilancia, agencias de comunicación, empresas de mantenimiento informático… Por eso, conviene analizar caso por caso. Quizás no es necesario en todos los casos suscribir un nuevo contrato de prestación de servicios, sino que en algunos supuestos puede resultar suficiente de incorporar una adenda que contenga las cláusulas necesarias de acuerdo con el reglamento.
En cualquier caso, es un muy buen momento para realizar un contraste e incorporar la obligación que recoge el RGPD de escoger sólo encargados del tratamiento que ofrezcan garantías de que respetará los derechos y libertades de los interesados en el tratamiento de los datos personales. Es decir, es necesario evaluar a los proveedores que tratarán datos personales bajo la propia responsabilidad. Esto es muy relevante si se da el caso de tener encargados de tratamientos fuera de la UE. Las obligaciones de antes no son las de ahora y no actualizarlas pueden acarrear más de un susto.
