Sois muchos los usuarios de este portal web que desde hace pocas semanas me preguntáis acerca de la cláusula de protección de datos en contrato mercantil. Prácticamente a diario os interesáis sobre si en este u otro contrato debe ajustarse o no a la normativa en materia de protección de datos. Pues tal y cómo os prometí, he creado este post definitivo para regularizar vuestros contratos.
De igual forma, si necesitas ayuda con este tema, no dudes en contactarme, ¡estaré encantado de atenderte!
Índice de contenidos
Modelo de cláusula de protección de datos en un contrato mercantil
Y si las personas jurídicas no tienen honor ni intimidad, ¿por qué hay que aplicar el RGPD en un contrato mercantil?. Más bien, lo que tienen es secreto profesional como os comentaba en mi entrada sobre las cláusulas de protección de datos en contratos por el RGPD 2018. Pero imaginad que sois una gestoría que recibe datos de empleados de un hotel. O tu empresa es la encargada del mantenimiento de los equipos informáticos de otra. Pues bien, sois los responsables de los datos que recibís y permitir el acceso a estos a un tercero es motivo suficiente para recoger las condiciones en un clausurado.
Debéis saber que para cumplir con el RGPD en los contratos mercantiles debéis atender dos caras de la misma moneda. Esto es, el interesado –sujeto de los datos-, debe consentir que determinados datos vayan a ser accesibles a un tercero.
Con ejemplos, Miguel. Con ejemplos. Mirad, os voy a poner dos modelos de cláusulas: una cláusula de protección de datos para el ‘Data Subject’ y otra cláusula de protección de datos para el contrato mercantil. De este modo resultará tu comprensión mucho mas sencilla:
Cláusula de protección de datos para el Data Subject
El ‘cliente/trabajador’ consiente que la ‘Entidad A’, responsable de los datos que usted facilita, ceda los siguientes tipos de datos recogidos en este contrato a las siguientes entidades:
Nóminas SA.- Datos identificativos y datos laborales, a fin gestionar el cobro de nóminas.
Softwate S.A.- Datos identificativos y de contacto, a fin de mantener segura nuestra base de datos en la nube.
Cobrador del Frac S.A.- Datos identificativos y de facturación, a fin de poder proceder al cobro en caso de morosidad.
Esta cláusula de protección de datos mercantil o laboral según el sentido que le déis debéis ajustarla al destinatario persona física. Así, si es dirigida a un contrato con un cliente, le informaréis que solo los datos identificativos, de contacto y de facturación serán cedidos a Software S.A. y a los cobradores del Frac S.A. En cambio, si la cláusula va insertada en un contrato laboral, la cosa cambia. Pero no quiero entrar mucho aquí, ya que tengo prevista otra entrada acerca de estas cláusulas.
Y ahora, debemos regularizar nuestra situación con quien será el encargado de los datos. Es decir, con Nóminas S.A., Software S.A. y con Cobrador del Frac S.A.
Cláusula de protección de datos para el contrato mercantil
La Entidad ‘Nóminas S.A.’ reconoce haber leído y comprendido el Anexo adjunto a este Documento, y se compromete a cumplir todo lo recogido en él.
Esto es, recogeréis en vuestro contrato la existencia de un segundo documento anexo. Documento de vital importancia porque en él deberá contenerse la relación jurídica entre el encargado y el responsable de los datos. Aunque no hay un modelo de documento para la cláusula de protección de datos para el contrato mercantil, he trabajado en elaborar uno. Podéis descargarlo al final de esta entrada.
El anexo que os podéis descargar, está inspirado en el que figura en la AEPD. Si bien no es un modelo oficial, sí que tiene relevancia jurídica y permite atenerte sobradamente a lo que exige el RGPD. Os recomiendo que no es quedéis en el documento y sigáis leyendo. Aun tengo algo importante que deciros.
Un poquito de normativa: responsable del tratamiento y encargado del tratamiento
Esto tengo que explicarlo. Los que habéis llegado hasta aquí encontraréis una respuesta jurídica, propiamente dicha. Y por ende, vuestra cláusula de protección de datos en contrato mercantil será más perfecta.
En las definiciones del artículo 4 del RGPD se diferencia entre ‘responsable del tratamiento’ y ‘encargado del tratamiento’. El primero es aquel que recibe los datos personales y se le confía la protección de los mismos. El segundo, por su parte, es un tercero que recibe del responsable la autorización para tratar esos datos. Esto no es nuevo. Estos conceptos ya vienen recogidos en la directiva 95/46/CE. Y posteriormente fueron objeto de estudio en el Dictamen 1/2010 sobre los conceptos de ‘responsable del tratamiento’ y ‘encargado del tratamiento’.
Pues bien, el legislador europeo, con buen criterio se aleja de los confusos términos españoles. ‘Comunicación de los datos’ y ‘Acceso a los datos por cuenta de terceros’ (artículos 11 y 12 de la LOPD) que no figuran en todo el RGPD. Ni en las dos normas anteriormente citadas. En su lugar, hace la siguiente distinción de ‘relaciones’:
- Responsable del tratamiento – Encargado del tratamiento. Entre ellos, un contrato con relevancia jurídica (el adjuntado) mediante el cual el encargado no puede modificar la finalidad del tratamiento. Recae (casi) toda la responsabilidad sobre el responsable. Es más similar a nuestro viejo ‘acceso a los datos por cuenta de terceros’.
- Coresponsables del tratamiento. Ambas entidades son responsables por igual del tratamiento, y definen juntos la finalidad de los mismos. Es más similar, aunque no del todo, a la antigua ‘comunicación o cesión de datos’, en la que el que recibe los datos podía elegir la finalidad de los mismos.
Características del contrato entre responsable y encargado del tratamiento de los datos
Este ‘contrato u acto jurídico’ que menciona el artículo 28 RGPD, vinculará la relación entre el responsable de los datos y el encargado de los datos. Para que me entendáis: entre el empresario principal y el empresario subcontratado. ¿Y qué debe incluir?
Los datos mínimos que debe incluir dicho contrato que vincula al encargado con respecto del responsable son el objeto, la duración del mismo –importantísimo punto-, la naturaleza y la finalidad del tratamiento. También debe incluir el tipo de datos, la categoría de interesados y las obligaciones los derechos del responsable. Pero ahí no queda la cosa, sino que hay unas obligaciones que sí o sí, deben respetarse. Grosso modo, son las siguientes:
- El tratamiento: siguiendo las estrictas indicaciones del contrato.
- Obligación de confidencialidad de las personas encargadas.
- Adoptar medidas de seguridad el encargado también.
- Protocolo para acudir a otro encargado que se sume a la fiesta.
- En el ejercicio de derechos de los solicitantes, el encargado tambien apechuga y asiste al responsable.
- El tema de la seguridad y la notificación de las vulneraciones, responsabilidad del encargado.
- Supresión de datos por parte del encargado, por exigencia del responsable cuando este se lo pida.
- El encargado está obligado a certificar al responsable que es diligente en el cumplimiento de sus obligaciones.
Confio que te haya sido de utilidad esta entrada y que el archivo que te has descargado te sirva para orientar bien tu anexo al contrato de prestación de servicios. No es un documento, el adjunto, para rellenar los huecos. Es más bien un documento para inspirarte y conocer qué aspectos debes de incluir en tus contratos.
Si quieres tener a un profesional como yo de tu lado 24/7, échale un vistazo a las igualas jurídicas para empresas que ofrezco para tener acceso ilimitado a la protección de tu empresa. No consiste este servicio en tener un abogado por si cualquier cosa. Consiste en coger tu empresa y analizar cualquier riesgo legal al que esté expuesto.
Modelo de cláusula de protección de datos en contrato mercantil 2018 y 2019
Pingback: Tercer aniversario del blog jurídico | Miguel Rivas España