En la actualidad y para facilitar las diversas actividades, el tratamiento de datos personales en algunas ocasiones requiere la participación de empresas o personas físicas que son denominadas y definidas en las leyes en materia de protección de datos personales como encargados.
El Reglamento General de Protección de Datos (RGDP) de la Unión Europea en su artículo 4, apartado 8 define como encargado a la persona física o jurídica, autoridad pública, servicio u otro organismos que trate datos personales por cuenta del responsable del tratamiento.
En el caso de México, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) en su artículo 3 fracción IX define al encargado como la persona física o jurídica que sola o conjuntamente con otras trata datos personales por cuenta del responsable, en el caso de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO) en su artículo 3 fracción XV retoma la definición de la LFPDPPP especificando que la persona física o jurídica puede ser pública o privada y ajena a la organización del responsable.
Esta figura cobra especial relevancia cuando participa en el tratamiento de datos personales, es por ello que deben considerarse medidas para que en cualquiera de las etapas del tratamiento en la que intervenga un encargado, el responsable pueda garantizar la continuidad en el cumplimiento de los principios, deberes y obligaciones a las que por Ley esta obligado a cumplir.
De tal forma que el responsable deberá a través de cláusulas contractuales u otro instrumento jurídico establecer las obligaciones que el encargado debe cumplir respecto del tratamiento que realizará a cuenta del responsable que contrata sus servicios.
En la Unión Europea, el Reglamento General de Protección de Datos (RGPD) en su artículo 23, apartado 3 establece que el tratamiento por el encargado se regirá por un contrato u otro acto jurídico, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable.
Para cumplir con lo establecido por el RGPD te comparto las siguientes cláusulas tipo para contratos entre los responsables y encargados publicadas en el sitio del Comité Europeo de Protección de Datos.
En el caso de México, el Reglamento de la LFPDPPP en su artículo 51 establece la obligación del responsable de formalizar la relación con el encargado a través de cláusulas contractuales u otro instrumento jurídico, sin especificar de forma puntual los elementos que estos instrumentos deben considerar, es hasta la LGPDPPSO que en su artículo 59 donde se detallan con puntualidad los elementos mínimos que se deben prever para la elaboración de las cláusulas y que para el sector privado pueden servir como una referencia.
A continuación, te comparto una infografía sobre las obligaciones de los encargados del tratamiento de datos personales, que te ayudará como referencia para construir las cláusulas contractuales u otro instrumento jurídico que selecciones para formalizar la relación con tus encargados.
Miriam Padilla Espinosa
MBA, Ing en Computación orgullosamente UNAM, apasionada de los datos personales, seguridad de la información y TIC -Todos los artículos son a título personal.
https://www.linkedin.com/in/mpadillaespinosa
Ponte en contacto conmigo.