Contratos de encargado del tratamiento — Lista de verificación y guía para DPDs

Un contrato de encargado del tratamiento es necesario siempre que un responsable contrate a un encargado para tratar datos personales en su nombre. La distinción entre responsable y encargado es crucial: un responsable determina las finalidades y los medios del tratamiento, mientras que un encargado actúa únicamente siguiendo las instrucciones del responsable. Las relaciones habituales con encargados que requieren un contrato incluyen: proveedores de alojamiento en la nube, plataformas de email marketing, proveedores de servicios de nómina, sistemas CRM, herramientas de analítica, empresas de soporte TI con acceso a datos personales y centros de llamadas externos. No toda relación con un proveedor requiere un contrato de encargado. Si una empresa utiliza un servicio donde no se tratan datos personales (por ejemplo, compra de material de oficina), no es necesario. Del mismo modo, si dos partes determinan independientemente las finalidades del tratamiento, son corresponsables en virtud del artículo 26 y necesitan un acuerdo de corresponsabilidad en lugar de un contrato de encargado. Para los DPDs externos, uno de los hallazgos de auditoría más comunes es la cobertura incompleta de contratos de encargado. Los clientes suelen tener 20-30 relaciones con encargados pero solo 10-15 contratos vigentes. Un inventario sistemático de todas las relaciones con proveedores es el primer paso esencial.

El artículo 28(3) del RGPD especifica el contenido mínimo que debe incluir un contrato de encargado. Todo contrato debe contener: el objeto y la duración del tratamiento, la naturaleza y finalidad del tratamiento, los tipos de datos personales y categorías de interesados, y las obligaciones y derechos del responsable. Más allá de estos elementos básicos, el contrato debe estipular que el encargado: trata los datos únicamente siguiendo instrucciones documentadas del responsable, garantiza que el personal autorizado está sujeto a obligaciones de confidencialidad, implementa medidas técnicas y organizativas apropiadas (artículo 32), contrata subencargados solo con autorización previa y obligaciones contractuales equivalentes, asiste al responsable en las respuestas a solicitudes de derechos, asiste en la notificación de brechas de seguridad y obligaciones de EIPD, suprime o devuelve los datos al finalizar el contrato, y pone a disposición toda la información necesaria para demostrar el cumplimiento, incluyendo permitir auditorías. Muchas organizaciones utilizan plantillas de contratos proporcionadas por el encargado (por ejemplo, AWS, Google, Microsoft). Aunque estas plantillas suelen cubrir las cláusulas obligatorias, pueden contener disposiciones desfavorables para el responsable — como derechos amplios de subcontratación, acceso limitado a auditorías o límites mínimos de responsabilidad. Revise siempre críticamente los contratos proporcionados por el encargado.

El error más frecuente es no tener ningún contrato de encargado para relaciones existentes con proveedores. Muchas organizaciones firmaron contratos con proveedores SaaS años antes de la aplicación del RGPD y nunca añadieron un contrato de encargado. Estas lagunas son de los hallazgos de auditoría más fáciles de identificar para las autoridades de control. Otro problema habitual son los contratos desactualizados que no reflejan las actividades de tratamiento actuales. Un contrato firmado cuando una empresa usaba un servicio para correo básico puede no cubrir el uso ampliado que ahora incluye automatización de marketing, elaboración de perfiles y transferencias transfronterizas de datos. La gestión de subencargados se descuida con frecuencia. En virtud del artículo 28(2), el responsable debe autorizar a los subencargados — ya sea de forma específica o general con derecho de oposición. Muchos encargados mantienen listas de subencargados que cambian regularmente (especialmente los grandes proveedores de nube). Los DPDs deben asegurar que los clientes tienen un proceso para revisar los cambios de subencargados. Finalmente, las disposiciones de fin de contrato se pasan por alto con frecuencia. ¿Especifica el contrato la supresión o devolución de datos? ¿En qué plazo? ¿En qué formato? Estos detalles se vuelven críticos al cambiar de proveedor o cuando una relación con un encargado termina.

Para DPDs externos que gestionan 10-20 clientes, cada uno con 15-30 relaciones con encargados, hacer seguimiento de los contratos manualmente se vuelve impracticable. Eso son potencialmente 200-600 contratos que supervisar en cuanto a fechas de vencimiento, cambios de subencargados y lagunas de cumplimiento. Un enfoque sistemático comienza con un repositorio central. Para cada cliente, mantenga una lista de todas las relaciones con encargados y el estado correspondiente del contrato: vigente, ausente, vencido o en revisión. Vincule cada contrato a las actividades de tratamiento relevantes en su RAT — esto crea una imagen de cumplimiento completa. Establezca alertas de vencimiento para contratos con plazo fijo. Muchos contratos de encargado están vinculados al contrato de servicio subyacente y se renuevan automáticamente, pero algunos tienen plazos fijos. Un contrato vencido significa tratamiento sin un acuerdo legal válido — una clara infracción del RGPD. Estandarice su lista de verificación de revisión de contratos. En lugar de leer cada contrato desde cero, compruebe los elementos obligatorios del artículo 28(3), evalúe las disposiciones sobre subencargados, verifique las garantías de transferencia de datos (especialmente tras Schrems II) y confirme los términos de fin de contrato. Trustee.eu le permite hacer seguimiento de todo esto por cliente con indicadores de estado y recordatorios de plazos.