Todo lo que debes saber sobre el contrato de cesión de datos

Hoy día, es habitual que casi todas las empresas subcontraten determinados servicios a terceros, ajenos a la organización. En estos casos, cuando se opta por la externalización de servicios, hay que tener varias cuestiones legales en cuenta. La que nos interesa en este post de General Risk es el contrato de cesión de datos.

La cesión de datos a un tercero tiene que estar regulada en un contrato por escrito para acreditar su celebración y contenido. Ha de constar lo siguiente: 

  • El encargado únicamente tratará los datos según las instrucciones del responsable del tratamiento.
  • No los aplicará o utilizará con fin distinto al que figure en el contrato.
  • No los comunicará, ni siquiera para su conservación, a otras personas.

El RGPD y la cesión de datos a terceros

En la guía con las directrices para la elaboración de contratos entre Responsables y Encargados del Tratamiento de la Agencia Española de Protección de Datos (AEPD) leemos los puntos clave a tener en cuenta en estas relaciones contractuales. 

En cuanto al responsable del tratamiento, tenemos que citar en primer lugar el deber de diligencia que se le presupone. Deber adoptar todas las medidas necesarias para la protección de los datos personales y comprometerse a no utilizarlos para fines distintos a los pactados en el contrato de prestación de servicios. Es clave firmarlo siempre por escrito. Debe hacerlo cualquier tercero que tenga acceso a datos personales de empleados o clientes. En cambio, los proveedores que no van a manejar datos pero sí acceder a la empresa (personal de limpieza o vigilancia por ejemplo) suscriben otro tipo de contrato.

Hay que determinar de forma precisa las instrucciones del encargo realizado. En cuanto al deber de confidencialidad, debe establecerse la forma en que el encargado del tratamiento garantizará que las personas autorizadas a tratar datos personales se comprometen a respetarla. Obligación que debe quedar documentada y a disposición del responsable.

En cuanto a las medidas de seguridad que te recordaremos en General Risk, se incluyen por ejemplo los siguientes aspectos: 
c

  • Seudonimización y cifrado de datos personales
  • Capacidad de garantizar la confidencialidad, integridad y disponibilidad de los sistemas de tratamiento
  • Capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida ante incidentes físicos o técnicos
  • Proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas
  • Régimen de subcontratación