Subcontratista del RGPD: ¿por qué regular la subcontratación?

Artículo 28 del RGPD establece que cuando el tratamiento deba realizarse por cuenta de un responsable del tratamiento, éste sólo recurrirá a subcontratistas que ofrezcan garantías suficientes en cuanto a la aplicación de medidas técnicas y organizativas adecuadas, de modo que el tratamiento cumpla los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.

Este artículo analiza varios puntos esenciales, en particular el garantías suficientes, pero también protección de los derechos de los interesados.

También existe la importante calificación del coprocesamiento: cuando dos personas, entidades, servicios u otros determinan conjuntamente los fines y medios del procesamiento de datos personales, tienen el estatus de „gerentes conjuntos" este tratamiento, en el sentido del artículo 26 del RGPD. Este concepto también debe estar regulado contractualmente. De hecho, las obligaciones de todos pueden variar.

Dado que cada uno de los actores debe definir su calidad en el contexto del tratamiento de los datos personales en cuestión, las cláusulas del RGPD están cada vez más respaldadas con consecuencias variables.

Este artículo analiza varios puntos esenciales, en particular el garantías suficientes, pero también protección de los derechos de los interesados.

Cláusulas contractuales del RGPD, un marco obligatorio para las relaciones entre el subcontratista del RGPD y el principal

Estas cláusulas son importantes porque permiten enmarcar la relación entre los actores y, más particularmente, las cuestiones de responsabilidad.

Debes saber que estas cláusulas deben contener al menos, y en formato escrito, según el artículo 28 del RGPD, la organización de la colaboración para el ejercicio de los derechos personales y las diferentes cláusulas de seguridad del artículo 29. También deberá regularse el procedimiento a la hora de notificar una vulneración de datos. Por último, deberán aparecer cláusulas de transferencia de datos y cláusulas de auditoría.

Artículo a leer: 11 acciones a tomar para el cumplimiento de su RGPD

Podemos identificar varios tipos de relaciones, y para esta investigación asumiremos que la organización, cualquiera que sea su papel, es la que escribe las cláusulas. Lo llamaremos "organismo A".

HAS. Definir las condiciones de subcontratación

La organización A es responsable del procesamiento y su cocontratista es un subcontratista del RGPD. Es decir, actúa en nombre y siguiendo instrucciones del responsable del tratamiento de datos, en este caso en nombre de la organización A.

El desafío para la organización A es definir las condiciones de subcontratación, es decir cumplir con las obligaciones de la normativa aplicable, en particular la obligación de hacer un contrato. Esto permite contratar al subcontratista del RGPD en el nivel definido por la organización. Especialmente en lo que respecta a una posible subsubcontratación — cuando el subcontratista 1 contrata al subcontratista 2.

Cuando la organización A es subcontratista del RGPD, la redacción de estas cláusulas le permite reducir el riesgo de calificación como responsable conjunto de datos.

De hecho, las obligaciones difieren. Además, esto permite a la organización A no comprometerse con más de lo que puede, en términos de los servicios a prestar, por ejemplo. Sin embargo, no se excluye una reclasificación de la organización A como responsable del tratamiento de datos a la luz de un análisis "in concreto" de la relación entre la organización A y su principal en el contexto del tratamiento de datos de que se trate.

Por lo tanto, se debe tener cuidado de garantizar que, en el marco de la relación con el principal, la organización A no se comporte como cocontroladora de datos en ningún momento, a fin de reflejar fielmente lo que se ha contractualizado con el principal.

B. Información de los interesados

La organización A es responsable del procesamiento y los destinatarios son los interesados. Gracias a estas cláusulas, el responsable del tratamiento cumple las obligaciones de la normativa aplicable, en particular la obligación de informar a los interesados.

En otro escenario, la organización A sigue siendo responsable del procesamiento, pero tiene un papel intermediario con las personas interesadas. Esto es especialmente cierto cuando resulta difícil o imposible informar directamente a las personas interesadas. Se trata entonces de transferir esta obligación a un cocontratista en colaboración con las personas interesadas, como por ejemplo el empresario.

La organización A es un subcontratista del RGPD y su cocontratista es el responsable del tratamiento de datos. Estas cláusulas permitirán especificar en los documentos exigibles a los usuarios finales que la organización A no es responsable del tratamiento, sino únicamente el subcontratista, porque no es él quien determina los fines y medios del tratamiento.

C. Excluir la subcontratación

La organización A es responsable del procesamiento y también lo es su cocontratista. Las cláusulas que permiten definir que cada parte es responsable de su cumplimiento de la normativa aplicable permiten evitar la calificación del subcontratista.

D. Ejemplos de cláusulas limitativas

Se vuelve importante que las organizaciones limiten sus responsabilidades, dentro del límite regulatorio. A modo de ejemplo, a continuación se muestra una cláusula contractual que ilustra esto:

"El Socio tendrá cuidado de no presentar, transmitir o almacenar Datos que requieran que la organización cumpla con leyes o regulaciones específicas distintas a las expresamente previstas en el Contrato.

En el sentido de la Ley no 2004-575, de 21 de junio de 2004, de Confianza en la Economía Digital, denominada "LCEN", se considera que la organización es el anfitrión de los Datos y el Socio el editor de los contenidos y de los Datos. En efecto, la organización no realiza ninguna verificación previa de los Datos del Socio, por lo que no puede ser considerada responsable del contenido o efectos de dichos Datos, sin perjuicio del cumplimiento del Reglamento de Protección de Datos en el caso de Datos Personales.

Esto es para indicar que la organización no controla los datos personales que procesa, por lo que no puede ser considerada responsable de ninguna falla debida al responsable del tratamiento.

También podemos encontrar esta formulación:

"El Socio informó a la organización que sus Datos podrían incluir Datos Personales. El Socio se compromete, no obstante, a tratar y subcontratar a la organización únicamente los Datos Personales estrictamente necesarios para satisfacer sus propias necesidades y las de sus usuarios en el marco de los Servicios. El Socio reconoce y acepta que actúa como "Responsable del Tratamiento" en el sentido del Reglamento de Protección de Datos, sobre sus Datos Personales, siendo la organización considerada un "Subcontratista" y actuando como tal bajo las instrucciones del Socio.

El fin de la relación contractual

Estas cláusulas, que regulan las relaciones, pueden prever las consecuencias en caso de resolución del contrato entre las partes, o incluso justificar la resolución del contrato en caso de incumplimiento de las mismas. Por lo tanto, es un tema de especial atención a la hora de negociar un contrato.

Este fin de relación puede ser de dos tipos, tanto porque el contrato está llegando a su fin, como durante la terminación.

HAS. Plazo del contrato

El contrato finaliza porque el servicio ha finalizado: por tanto, el tratamiento de datos vinculado al mismo ya no tiene ninguna finalidad.

Las cláusulas deberán prever el destino de los datos al final del contrato. Esto es necesario en primer lugar para permitir la gestión operativa de las políticas internas de datos personales. Sin un compromiso contractual “estandarizado” que refleje la política interna de gestión de datos personales, gestionar las operaciones (y por tanto el cumplimiento “real”) se convierte en una tarea aún más difícil. El objetivo es que el subcontratista limite, por ejemplo, la duración de la conservación de datos para evitar tener que almacenar datos "innecesarios", lo que, más allá de los costes asociados, le libera de sus obligaciones como subcontratista respecto de estos datos.

Por ejemplo, debido a la eliminación de los datos, ya no tendrá que procesar ninguna solicitud de derechos transmitida por su principal.

Evidentemente, hay que tener en cuenta que la legislación de la Unión o del Estado miembro de que se trate puede imponer un período mínimo de conservación de estos datos.

B. Terminación del contrato

Si esto está previsto contractualmente entre las partes, el incumplimiento de las cláusulas contractuales puede dar lugar a la finalización del contrato, en particular a su rescisión.

A continuación se muestra una cláusula de rescisión que ilustra esto:

"En caso de incumplimiento de estas disposiciones, el Cliente podrá rescindir automáticamente este Contrato, de forma automática, sin sanciones y sin previo aviso, sin perjuicio de la posibilidad de solicitar indemnización por el daño sufrido. "

La inserción de tal cláusula es un activo real para el principal, que puede libérese de sus obligaciones con su subcontratista en caso de incumplimiento de las cláusulas contractuales relativas al RGPD.

Aunque el cumplimiento del RGPD obviamente no es una "opción" para el subcontratista, una cláusula del RGPD que imponga obligaciones más allá de ésta podría debilitar considerablemente la sostenibilidad de su relación con su principal. Así, con tales cláusulas, el principal podrá utilizar sus cláusulas para "sacar" gratuitamente a un subcontratista en caso de incumplimiento por parte de este último de las estipulaciones contractuales o aprovechar esta falta para renegociar de manera drástica las condiciones financieras del contrato amenazando con la rescisión.

¿¡Así que permanecemos vigilantes!?

Otros artículos
sobre el mismo tema