Cómo evitar una sanción de la AEPD: actualiza tus contratos de Acuerdos de Encargo de Tratamiento de datos

contrato de acuerdo de encargo de tratamiento de datos para evitar sanción AEPD
24 Mayo 2022

Tabla de contenidos

La protección de los datos personales es un derecho fundamental que está a la orden del día, dado que en los últimos años ha ido cobrando una gran importancia en los sectores tanto públicos como privados, así como en la ciudadanía en general.

No obstante, pese a que el RGPD y la LOPDGDD resulten plenamente aplicables desde 2018, cuatro años después, aún hay empresas y entidades que continúan remitiéndose a la legislación anterior en su documentación y en los contratos que llevan a cabo con terceros, con el riesgo de sanción por parte de la AEPD  que eso supone.

En ese sentido, resulta oportuno centrarse en los contratos de encargo de tratamiento, dado que, a partir del 25 de mayo de 2022, aquellos que hayan sido formalizados previos a la plena aplicabilidad del RGPD (esto es, antes del 25 de mayo de 2018) y no se hayan actualizado aún a la normativa actual, dejarán de estar vigentes

Bajo esa tesitura, cabe recordar que no disponer de un contrato de acuerdo de encargo de tratamiento formalizado, puede suponer una infracción tipificada como grave, que podría llevar aparejada una multa de hasta 10 millones de euros (o el 2% de la facturación anual, aplicando la cuantía que sea más alta). 

En base a lo anteriormente expuesto, resulta oportuno aprovechar para repasar y analizar los aspectos clave de los contratos de acuerdo de encargo de tratamiento, de cara a evitar posibles incumplimientos de la normativa. 

¿Cuándo se debe suscribir un contrato de Acuerdo de Encargo de Tratamiento?

Para responder a esta cuestión, en primer lugar, conviene identificar los sujetos intervinientes en un Acuerdo de Encargo de Tratamiento:

  • El responsable del tratamiento: es aquel que determina los fines y los medios relacionados con el tratamiento de los datos personales, es decir, el “cómo” y el “por qué”.
  • El encargado del tratamiento: es aquel que trata los datos personales únicamente por cuenta del responsable del tratamiento. En la mayoría de los casos, el encargado del tratamiento suele ser un tercero externo a la propia entidad o empresa.

Cabe destacar que, según el caso, una entidad puede ser responsable o encargada del tratamiento, o ambas cosas a la vez, dado que su posición puede variar en función de sus actividades concretas dentro de un entorno específico.

En cualquier caso, la relación entre ambos sujetos siempre deberá especificarse en un contrato u otro acto jurídico, que generalmente tiene el nombre de Acuerdo de encargo de tratamiento, a través del cual se regulan las obligaciones de los sujetos y, en especial, las del encargado del tratamiento con respecto al responsable del tratamiento.

Ejemplo de supuesto en el que se debe suscribir un Acuerdo de Encargo de tratamiento

Supongamos que un restaurante con una gran plantilla decide contratar a una asesoría laboral, para lograr una mejor gestión de los pagos de salarios a sus empleados. 

En ese caso, dicho restaurante será quién indique a la asesoría laboral toda la información sobre las nóminas y el pago, así como quién decidirá sobre asuntos tales como los aumentos o disminuciones de salario, cuando deberán pagarse las nóminas, entre otros. Por otra parte, la asesoría laboral, únicamente proporcionará el sistema informático y conservará los datos de los empleados para poder ofrecer un buen servicio de gestión de nóminas. 

Bajo esa tesitura, el restaurante ejercería como responsable del tratamiento y la empresa de gestión de nóminas como encargado del tratamiento, debiendo suscribir ambas partes un contrato de Acuerdo de Encargo de Tratamiento, que se anexará al contrato principal.

No obstante, la asesoría laboral, puede ser responsable del tratamiento respecto a sus propios clientes y empleados, a la vez que actúa como encargado respecto a los datos personales tratados por cuenta de otras empresas, como pudiera ser el restaurante, para prestarles servicios de gestión de nóminas.

¿Cuál es el contenido mínimo de un acuerdo de encargo de tratamiento?

Un contrato de acuerdo de encargo de tratamiento deberá establecer, como mínimo, el objeto, duración, la naturaleza y finalidad del tratamiento, el tipo de datos personales y categorías de interesados, así como las obligaciones y derechos del responsable.

Asimismo, el acuerdo deberá contener lo siguiente: 

  • Las instrucciones documentadas del responsable del tratamiento, a través de las cuales se establezcan, entre otros, el tipo de datos a tratar, o las categorías de interesados, a las que el encargado del tratamiento deberá estar sujeto.
  • Garantía del deber de confidencialidad, a través del cual las personas autorizadas para tratar datos personales se comprometan, de forma expresa, a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad en base a sus estatutos.
  • La obligación del encargado de adoptar todas aquellas medidas técnicas y organizativas que resulten necesarias y apropiadas para garantizar un nivel de seguridad adecuado.

    Dichas medidas técnicas abarcan acciones tales como el cifrado de la información, el uso de antivirus o las copias de seguridad, mientras que un ejemplo de medida organizativa puede ser la formación y concienciación del personal en materia de protección de datos.

  • Regulación del régimen de subcontratación, en caso de que el encargado del tratamiento pretenda recurrir a otro encargado (denominado subencargado) para desarrollar el servicio. Esto ocurre, por ejemplo, en el caso de proveedores de servicios informáticos que a su vez recurren a otros proveedores informáticos para el desarrollo de sus actividades.  
  • La obligación del encargado de colaborar en el cumplimiento de las obligaciones que tenga el responsable, así como de demostrar el cumplimiento de sus obligaciones como encargado.
  • Regulación del destino de los datos al final el servicio, que podrá ser, por ejemplo, devolver o suprimir los datos personales.


¿Puede el responsable del tratamiento elegir cualquier encargado del tratamiento?

No, dado que como se expone en el punto anterior, la normativa obliga al responsable del tratamiento a elegir únicamente un encargado que ofrezca aquellas garantías suficientes para aplicar aquellas medidas técnicas y organizativas que resulten apropiadas.

En ese sentido, el responsable debe atender criterios tales como los conocimientos especializados, la fiabilidad y los posibles recursos del encargado de tratamiento.

En conclusión, resulta indispensable que tanto las empresas como las entidades del sector público, cuenten con el asesoramiento de expertos en materia de protección de datos a la hora de suscribir acuerdos de encargo de tratamiento, tanto para verificar que un encargado del tratamiento reúne las garantías necesarias, como para asegurarse de que el contrato de acuerdo de encargo de tratamiento que se va a formalizar dispone de la máxima seguridad jurídica. 

En Ceca Magán contamos con abogados especializados en la normativa de protección de datos, que pueden asesorarle en cualquier proceso relacionado con el cumplimiento de la normativa vigente. Puede contactar con ellos aquí.

Ingrid González y Adrián Manrique

Abogados en el área Protección de datos y Derecho digital

Añadir nuevo comentario