El pasado 25 de mayo de 2022 finalizaba el plazo para adaptar los contratos de encargo de tratamiento suscritos antes del 25 de mayo de 2018 a la normativa actual. En consecuencia, desde ayer todos los contratos de encargo de tratamiento que estén actualmente en vigor deben cumplir con las obligaciones dispuestas tanto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (“RGPD”) como a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (“LOPDGDD”).

En virtud de la Disposición Transitoria 5ª LOPDGDD, los contratos de encargo de tratamiento de datos suscritos antes de la entrada en vigor del RGPD, es decir, antes del 25 de mayo de 2018, continuaban siendo válidos y eficaces durante cuatro años, es decir, hasta el 25 de mayo de 2022. Por otro lado, esos contratos se mantenían sujetos a lo dispuesto en la normativa anterior, la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

A partir del 25 de mayo de 2022, dichos contratos de encargo de tratamiento deben conformarse a las obligaciones que se establecen en el RGPD y la LOPDGDD. En este sentido, los contratos deberán contemplar el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable. Asimismo, los contratos especificarán que el encargado tratará los datos personales exclusivamente siguiendo las instrucciones del responsable, garantizará que las personas autorizadas a tratar datos personales están sujetas a acuerdos de confidencialidad, implementará las medidas de seguridad apropiadas para garantizar un nivel de seguridad adecuado al riesgo, asistirá al responsable en caso de que los interesados ejerzan los derechos que les reconoce la normativa de protección de datos, suprimirá o devolverá los datos tratados una vez finalice la prestación de servicios y, finalmente, se comprometerá a poner a disposición del responsable toda la información que requiera para poder demostrar el cumplimiento de sus obligaciones en protección de datos.

Florencia Arrébola
Area IP/Media