El contrato de Encargado de Tratamiento actuará conforme a las instrucciones que marque el Responsable de Tratamiento.

Todas las empresas y profesionales están obligados a suscribir contratos de tratamiento de datos con los proveedores que les prestan servicios en los cuales  requieren un tratamiento de datos personales.

El Encargado de Tratamiento es aquella empresa externa contratada por el responsable del fichero (nuestra empresa) para llevar a cabo la prestación del servicio en su nombre.

Se requiere firmar un Contrato de Encargado de Tratamiento, pues a de constar de forma escrita con el contenido típico legal, así como adoptando los criterios mínimos previstos por la Agencia Española de Protección de Datos (AEPD).

Este contrato tiene el objetivo de establecer las condiciones según las cuales el Encargado del Tratamiento, durante la prestación de los servicios encomendados, realizará el tratamiento de los ficheros propiedad del responsable del fichero. 

Así, nos permite identificar las buenas prácticas en el actuar de la entidad que tenga acceso a los datos. Entre los

Delegado de protección de datos

que se incluyen los datos relativos a: clientes, empleados, currículums, así como imágenes internas de la empresa (grabaciones de videovigilancia).

No obstante, el RGPD 2016/679 junto con el nuevo anteproyecto de ley, resalta la importancia de especificar cuál va a ser el tratamiento en las prestaciones de servicio por cuenta de terceros con acceso a datos respecto al cumplimiento normativo de protección de datos. Siendo una garantía para los titulares de estos datos.

El carácter obligatorio se complementa por la facultad de que cualquiera de las partes puede exigir la adaptación del contrato, artículo 28 del Reglamento (UE) 2016/679, permitiendo que cualquiera de las partes interpele a la contraparte para actualizar el correspondiente acuerdo sin esperar al vencimiento de los plazos del contrato o los propios legales recién establecidos. 

En caso de que el responsable del fichero no firme un contrato con los requisitos mínimos exigidos con aquellos proveedores de servicios que accedan a datos de carácter personal de los que es responsable, así como tampoco realice una evaluación previa de dicho proveedor cometerá una infracción grave por el RGPD y también por la Nueva LOPD.

La sanción que puede imponer la AEPD, según el artículo 83.4 del RGPD por este motivo tendrá un máximo de 10.000.000 € o un 2% del volumen máximo de negocio total anual, inclinándose por el de mayor cuantía.

Desde Auratech Legal Solutions podemos ayudarle a actualizar las obligaciones de Encargado de Tratamiento tanto cuando su organización actúe como Responsable del Tratamiento como cuando tenga como proveedor a terceros, siendo precisamente el Encargado de Tratamiento de dicha empresa.