Las empresas deberían prestar mucha atención al contratar servicios que incluyen el tratamiento de datos personales, ya que como Responsables del tratamiento, cualquier incidencia relativa a la protección de datos, deberán poder demostrar que han actuado siguiendo las disposiciones del Reglamento.
La empresa que nos está haciendo la página web será un Encargado de tratamiento y antes de firmar ningún contrato de servicios, se debería comprobar que ofrece suficientes garantías de protección de datos para:
En el caso que se pueda comprobar que ofrece suficientes garantías se formalizará un contrato de Encargado de tratamiento con las cláusulas obligatorias que dispone el Reglamento.
Para facilitar datos personales a Encargados de tratamiento se deberán cumplir estas dos premisas -Garantías y Contrato- y para demostrarlo se deberá guardar la documentación que lo certifique.
1) Comprobar si tienen ficheros inscritos en la AEPD. Si tienen ficheros inscritos, podemos suponer que la empresa está adaptada a la LOPD. Si no tiene ningún fichero inscrito ya delata que no ofrece suficientes garantías, lo cual nos obliga a no facilitarle ningún dato de carácter personal. Para asegurarnos, basta con poner el NIF/CIF en el registro público de la AEPD: http://www.agpd.es/portalwebAGPD/ficheros_inscritos/titularidad_privada/index-ides-idphp.php
2) Obtener un certificado de cumplimiento de la LOPD. Es el mejor método para poder demostrar que ofrece suficientes garantías, ya que nuestros recursos no nos permiten saber con exactitud si cumplen o no la normativa vigente en protección de datos. Un certificado de cumplimiento lo deberá emitir el Encargado del tratamiento y contendrá, como mínimo:
3) Otros mecanismos de certificación aprobados por la Autoridad de control: sellos y marcas de protección de datos, adhesión a códigos de conducta y normas corporativas vinculantes.
La relación entre el Responsable y el Encargado del tratamiento se regirá por un contrato, preferiblemente en formato electrónico, donde se especificarán sus respectivas funciones y se disponga:
Antes de firmar ningún contrato deberemos leerlo detenidamente para asegurarnos que incorpora las cláusulas antes mencionadas. Si no lo vemos muy claro, lo aconsejable es facilitarselo a nuestro consultor de privacidad para su correcta evaluación. Lo mejor en estos casos es que nosotros facilitemos el contrato de Encargado de tratamiento previamente validado por nuestro consultor/asesor, ya que somos los Responsables y como tales los que estamos obligados a ello.
Se debe distinguir entre un CONTRATO DE SERVICIOS, donde se describen los detalles técnicos y precios del servicio contratado, de un CONTRATO DE ENCARGADO, donde se reflejan las instrucciones para el tratamiento de datos personales. Lo más recomendable es que ambos contratos se formalicen y firmen por separado para que los compromisos adquiridos por ambas partes sean más transparentes y no dé lugar a dudas sobre la finalidad de cada contrato.