InicioBase de conocimientos › Checklist del contrato de encargado
RGPD

Redactar un contrato de encargado del tratamiento: checklist según el art. 28 del RGPD

· 9 min de lectura · DeSnipperaar

En cuanto encargas el tratamiento de datos personales a un tercero, debe existir un contrato de encargado del tratamiento. Un proveedor de nube, una gestoría de nóminas, un servicio de destrucción de documentos, una agencia de marketing que enriquece tu base de clientes. Todos son encargados del tratamiento en el sentido del RGPD. El artículo 28, apartado 3, establece qué elementos debe contener como mínimo el contrato. Quien encarga trabajos sin un contrato firmado infringe el RGPD él mismo, aunque el encargado actúe de forma profesional. Este artículo es una checklist práctica de 13 puntos.

Público objetivo. Empresarios de pymes, DPO, compras y todo aquel que firma con regularidad contratos con encargados del tratamiento.

¿Cuándo hace falta un contrato de encargado del tratamiento?

Solo si la otra parte cualifica como encargado del tratamiento. Eso significa una parte que trata datos personales por encargo y bajo instrucción tuya (el responsable del tratamiento). Un abogado que litiga por ti no es un encargado, porque actúa de forma autónoma. Un servicio de destrucción de documentos que trata tus archivos según tus instrucciones es un encargado.

El contrato no regula el acuerdo comercial en sí. Precio, volumen y alcance del servicio van en un acuerdo marco aparte o en la confirmación del presupuesto. El contrato de encargado del tratamiento trata únicamente de privacidad.

Los 13 puntos

1. Partes y roles

¿Quién es responsable, quién es encargado? Nombre completo, número de la Cámara de Comercio, dirección, persona de contacto y persona con poder de firma. Sin margen para malentendidos.

2. Objeto, duración, naturaleza y finalidad del tratamiento

Descríbelo de forma concreta. Ejemplo. «El tratamiento consiste en la destrucción móvil de documentos en las instalaciones del responsable, con DIN 66399 P-5. Duración: por encargo, 2 horas de media. Finalidad: destrucción segura de datos personales una vez vencido el plazo de conservación.»

3. Tipos de datos personales y categorías de interesados

¿Qué categorías tratas? Piensa en nombres, direcciones, BSN, copias de identidad, datos financieros, datos médicos, etc. ¿Y qué interesados: clientes, empleados, pacientes, proveedores?

4. Instrucciones del responsable

El encargado solo puede actuar siguiendo instrucciones escritas o documentadas. Establece que desviarse está prohibido salvo acuerdo previo. Esto te protege frente a actuaciones por cuenta propia del encargado.

5. Deber de confidencialidad del personal

Todos los empleados que entran en contacto con los datos están sujetos a confidencialidad. Preferiblemente con referencia al contrato laboral o a una declaración individual. Para sectores sensibles (abogacía, sanidad) exige también el VOG.

6. Medidas de seguridad (art. 32 del RGPD)

Describe qué medidas técnicas y organizativas apropiadas adopta el encargado. Ejemplos: control de acceso en las instalaciones, transporte cifrado, camión trituradora cerrado, registro de los encargos ejecutados, seguridad física del almacenamiento. Consulta también nuestro artículo sobre requisitos del RGPD para la destrucción de documentos.

7. Subencargados

¿Puede el encargado recurrir a subcontratistas? Si es así, ¿bajo qué condiciones? Por defecto: autorización previa por escrito, o autorización general con deber de notificación por cada nuevo subencargado. A los subencargados hay que imponerles las mismas obligaciones («deber de traslado»).

8. Deber de notificación de brechas de datos

¿En cuántas horas notifica el encargado un incidente? El RGPD no fija nada, pero de 24 a 48 horas es lo habitual. Así te queda margen para tu propio plazo de 72 horas ante la AP. Consulta nuestro artículo sobre cómo notificar una brecha de datos en 72 horas.

9. Asistencia con los derechos de los interesados

El encargado te ayuda a atender las solicitudes de los interesados (acceso, rectificación, supresión, portabilidad de datos). Fija con qué rapidez y a qué coste.

10. Asistencia con el análisis de riesgos (DPIA)

Si tienes que realizar una evaluación de impacto relativa a la protección de datos, el encargado aporta la información pertinente. Para un servicio de destrucción esa aportación suele limitarse a la documentación técnica de la destrucción.

11. Derecho de auditoría

Tú puedes comprobar si el encargado cumple lo acordado. Eso es posible mediante inspección en las instalaciones, mediante la entrega de certificados (ISO 27001, NEN 7510) o mediante una auditoría independiente. Fija la frecuencia y el reparto de costes.

12. Fin del tratamiento

¿Qué ocurre con los datos una vez vencido el plazo de conservación, el encargo o el contrato? Supresión o devolución, en qué plazo. En el caso de la destrucción esto es evidente. Los datos quedan destruidos al final de cada encargo. Pero también hay que regular los metadatos, los registros y los demás restos.

13. Responsabilidad y penalización

No es obligatorio, pero es prudente. ¿Quién responde de una multa del RGPD si el encargado fue negligente? La ley reparte la responsabilidad de forma solidaria, pero entre vosotros podéis pactar una indemnización.

¿Necesitas un contrato de encargado para la destrucción de documentos?

Tenemos un modelo estándar listo que cumple el art. 28 del RGPD. Anexos específicos por sector para sanidad, abogacía, notariado y finanzas. Devuelto firmado en un día laborable.

Solicita un presupuesto

Las trampas

Sin contrato antes del primer encargo

«Ya lo firmaremos más tarde» es una infracción del RGPD desde el momento en que se transfieren los primeros datos. Firma siempre antes del encargo, no después.

Solo condiciones generales

Las condiciones generales no cubren los 13 puntos. Algunos encargados intentan conformarse con un «cumplimiento del RGPD según las condiciones generales». Insuficiente. Exige un documento aparte.

Sin un listado de subencargados

En una administración de destrucción alojada en la nube, el encargado puede a su vez recurrir a un proveedor de nube (AWS, Azure). Ese también es subencargado. El listado debe estar completo.

Sin actualización ante cambios

Si el encargado sufre una adquisición, un traslado o incorpora un nuevo subencargado, el contrato debe acompañar el cambio. Planifica una revisión anual.

Sin firmar

Suena elemental, pero ocurre a menudo. Un borrador queda en un correo y nadie lo devuelve firmado. Pide siempre una versión firmada, preferiblemente con firma digital a través de un servicio reconocido.

Específico para empresas de destrucción

En un servicio de destrucción de documentos corresponden además unos cuantos puntos extra en el contrato.

  • Nivel DIN 66399 (P-5 estándar para todos los documentos sujetos al RGPD)
  • Certificado por encargo con campos específicos (consulta Certificado de Destrucción)
  • Destrucción móvil en las instalaciones frente a transporte offsite (consulta destrucción móvil frente a offsite)
  • Cribado VOG del personal
  • Contenedores de transporte sellados en caso de offsite
  • Registro de todas las visitas a las instalaciones

¿Y si el encargado se niega a firmar?

A veces los grandes proveedores rechazan un modelo redactado por ti e imponen su propia versión. En ese caso es importante contrastarlo con los 13 puntos. Si falta algo, exige una adaptación. Si el proveedor es del todo inflexible y no cumple, busca otro proveedor. La multa del RGPD recae sobre ti, no sobre él.

Firma digital

Un contrato de encargado del tratamiento se puede firmar perfectamente de forma digital con DocuSign, AdobeSign, Zynyo o servicios similares. Conserva la versión firmada con su registro de auditoría al menos 5 años tras el fin del contrato.

¿Externalizas la destrucción pero no tienes contrato? Llámanos o solicita un presupuesto a través de desnipperaar.nl. Te enviamos el contrato de encargado estándar, lo devuelves firmado y listo para usar.