Renovación de contratos

Obligación de actualizar los contratos de encargado de tratamiento firmados antes del 25-5-2018 al artículo 28 del RGPD y como máximo, el día 25-5-2022.

Todas las organizaciones externalizan parte de sus tratamientos de datos personales con organizaciones externas.

Así son ejemplos de encargos de tratamiento cuando una organización (el responsable del tratamiento) contrata con otra y por tanto externaliza (el encargado del tratamiento) servicios como:

  • El hosting
  • La confección de nóminas
  • La confección de la contabilidad
  • La videovigilancia
  • La impresión de etiquetas
  • La destrucción de información confidencial

Pues bien en todos estos casos puede existir un deber de actualizar los contratos de ET, si los mismos se firmaron antes del día 25-5-2018.

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, reguló en la disposición transitoria quinta que sucedía con aquellos contratos de encargado del tratamiento suscritos antes del día 25-5-2018 -que era la fecha de entrada en vigor del reglamento 2016/679-.

Esta norma señala que:

  • Los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022.
  • Durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el artículo 28 del Reglamento (UE) 2016/679 y en el Capítulo II del Título V de esta ley orgánica.

En esa línea se pronuncia también la Agencia Española de Protección de Datos (clicar para acceder al enlace)

¿Son válidos los contratos con encargados de tratamiento anteriores al RGPD?

Los contratos con encargados de tratamiento concluidos con anterioridad a la aplicación del RGPD en mayo de 2018 deben modificarse y adaptarse para respetar este contenido, sin que sean válidas las remisiones genéricas al artículo del RGPD que los regula.

Indicar al respecto que la Disposición transitoria segunda del Real decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos, dice que “ … los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022 …”.

Durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el artículo 28 del Reglamento (UE) 2016/679.

Por tanto, los contratos de encargado de tratamiento firmados antes del día 25-5-2018 deben ser revisados para adaptarlos al reglamento 2016/679 y la ley 3/2018 antes del día 25-5-2022.