Contracte de tractament de dades

4 de maig de 2015

El contracte de tractament de dades és un element bàsic per al compliment de la LOPD. La realitat empresarial en què cada vegada és més necessari comptar amb empreses externes que duguin a terme tasques altament especialitzades per al dia a dia, comporta que cada vegada amb més freqüència es subcontractin labors que poden implicar l’accés per part de tercers als fitxers amb dades personals de l’empresa.

Exemples cada vegada n’hi ha més: backups online, serveis informàtics al núvol, gestoria laboral, serveis de comunicació o màrqueting, prevenció de riscos, etc…En un altre post ja vaig tractar els requeriments legals per allotjar dades en el núvol, però en aquest volia fer referència a les consideracions bàsiques per identificar aquest tipus de proveïdors, ja els requeriments bàsics per complir amb la LOPD:

Quins proveïdors han de signar el contracte de tractament de dades?

Qualsevol proveïdor que vegi, accedeixi, allotgi, manipuli o que d’alguna manera, tingui accés a les dades personals que tractis en el dia a dia de la teva empresa; ha de signar el contracte. Entre aquestes dades s’inclouen dades de clients, treballadors, enregistraments, imatges, currículums, etc… Els proveïdors que no tracten dades però que accedeixen a la teva empresa, han de signar un altre tipus de contracte. Per tant, revisa quins proveïdors compleixen aquestes característiques, i fes-los signar el contracte abans que comencin a accedir a les dades.

Com ha de signar-se el contracte de tractament de dades?

Específicament la LOPD indica que el contracte de tractament de dades ha de signar-se per escrit o “en alguna altra forma que permeti acreditar la seva celebració i contingut”; inevitablement això ens porta a plantejar-nos la qüestió de què passa amb els contractes o acords que se celebren online.

L’acceptació de condicions online és perfectament vàlida però també genera el problema de com demostrar que s’ha acceptat i més complicat, què s’ha acceptat, ja que com veurem, el contingut d’aquest contracte, està taxat per llei. Algunes recomanacions: si contractes online un servei que implica que el proveïdor tindrà accés a les teves dades, assegura’t que el contracte compleix amb la llei i guarda còpia del contingut del contracte en el dia que el vas acceptar.

Què ha d’incloure el contracte?

El contingut mínim del contracte pot resumir-se en: (1) el proveïdor (encarregat del tractament) únicament accedirà a les dades per prestar el servei i segons les instruccions del client (responsable del fitxer); (2) les mesures de seguretat específiques que s’aplicaran, en virtut del nivell de seguretat exigible segons el tipus de dades, consulta les mesures específiques a implementar aquí (arts. 89 i ss); (3) procediment de devolució o destrucció de les dades en cas de resolució o fi del contracte i (4) autoritzar les subcontractacions del servei, en cas que siguin necessàries per a la prestació del mateix.

I si no tinc contracte, què?

No disposar del contracte signat, pot suposar una infracció lleu de la LOPD i una sanció potencial de fins a 40.000 €, que com veiem és perfectament evitable amb unes mínimes cauteles.

Si tens dubtes sobre aquest o qualsevol altre tema, no dubtis en contactar-nos!