Mesures de seguretat específiques en els contractes d'encarregat del tractament
INTRODUCCIÓ
L'art. 28. 3 RGPD estableix que el tractament per l'encarregat s'ha de regir per un contracte o un altre acte jurídic d'acord amb el dret de la Unió o dels estats membres, que vinculi l'encarregat respecte del responsable i que estableixi l'objecte, la durada, la naturalesa i la finalitat del tractament, el tipus de dades personals i categories d'interessats, i les obligacions i drets del contracte i que inclogui una sèrie de apartat 3.
Tot i que els elements previstos a l'art. 28 RGPD constitueixen el seu contingut essencial, el contracte ha de servir perquè el responsable i l'encarregat aclareixin, mitjançant instruccions detallades, com s'aplicaran a la pràctica aquests elements. Per tant, el contracte d'encàrrec no s'ha de limitar a reproduir les disposicions del RGPD, sinó que ha d'incloure una informació més específica i concreta sobre la manera com se satisfaran els requisits i el grau de seguretat que caldrà per al tractament de les dades personals objecte del contracte de tractament. (Directrius 07/2020 sobre els conceptes de “responsable i encarregat del tractament” en el RGPD).
MESURES DE SEGURETAT (art. 28.3.c RGPD)
En el cas de la seguretat del tractament encarregat, les meres referències a la necessitat que l'encarregat tingui mesures de seguretat d'acord amb l'art. 32 RGPD no suposa el compliment del que preveu l'art. 28.3 c) RGPD, ja que n'és una mera reproducció i no queden reflectides les mesures en relació amb els riscos associats a l'activitat del responsable.
El nivell de detall de les instruccions donades pel responsable a l'encarregat sobre les mesures que s'hi aplicaran dependrà de les circumstàncies del cas. El responsable del tractament exerceix el seu poder de decisió sobre les mesures de seguretat, bé indicant expressament les mesures amb què ha de comptar l'encarregat, bé aprovant les mesures proposades per l'encarregat.
L'AEPD ha sancionat diferents entitats per incloure en els seus contractes d'encàrrec clàusules genèriques reproduint el que disposa l'art. 32 RGPD en comptes d'incloure una informació més específica i concreta sobre les mesures de seguretat que ha d'adoptar l'encarregat per al tractament de les dades personals objecte del contracte d'encàrrec.
Algunes d'aquestes sancions:
- PS00313-2025: sanció de 50.000 €. per una infracció de l'art. 28 RGPD. Entre altres qüestions per no concretar mesures tècniques i organitzatives específiques, les previsions contractuals relatives a mesures de seguretat es limitaven a enunciar objectius generals.
- PS00227-2024: sanció de 25.000€ per una infracció de l'art. 28.3 RGPD. Entre altres qüestions per incloure al contracte d'encàrrec meres referències a la necessitat que l'encarregat compti amb mesures de seguretat de les establertes a l'art. 32 RGPD, no suposant aquesta clàusula el compliment del que preveu l'art. 28.3 c) del RGPD.