Medidas de seguridad específicas en los contratos de encargado del tratamiento
INTRODUCCIÓN
El art. 28. 3 RGPD establece que el tratamiento por el encargado debe regirse por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y que establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable y que incluya una serie de estipulaciones enumeradas de la letras a) a la h) de dicho apartado 3.
Aunque los elementos previstos en el art. 28 RGPD constituyen su contenido esencial, el contrato debe servir para que el responsable y el encargado aclaren, mediante instrucciones detalladas, cómo se aplicarán en la práctica dichos elementos. Por tanto, el contrato de encargo no debe limitarse a reproducir las disposiciones del RGPD, sino que debe incluir una información más específica y concreta sobre el modo en que se satisfarán los requisitos y el grado de seguridad que se precisará para el tratamiento de los datos personales objeto del contrato de tratamiento. (Directrices 07/2020 sobre los conceptos de “responsable y encargado del tratamiento” en el RGPD)
MEDIDAS DE SEGURIDAD (art. 28.3.c RGPD)
En el caso de la seguridad del tratamiento encargado, las meras referencias a la necesidad de que el encargado cuente con medidas de seguridad conforme al art. 32 RGPD no supone el cumplimiento de lo previsto en el art. 28.3 c) RGPD, pues es una mera reproducción de este y no quedan reflejadas las medidas en relación con los riesgos asociados a la actividad del responsable.
El nivel de detalle de las instrucciones dadas por el responsable al encargado acerca de las medidas que se aplicarán dependerá de las circunstancias del caso. El responsable del tratamiento ejerce su poder de decisión sobre las medidas de seguridad, bien indicando expresamente las medidas con las que debe contar el encargado, bien aprobando las medidas propuestas por el encargado.
La AEPD ha sancionado a distintas entidades por incluir en sus contratos de encargo cláusulas genéricas reproduciendo lo dispuesto en el art. 32 RGPD en lugar de incluir una información más específica y concreta sobre las medidas de seguridad que debe adoptar el encargado para el tratamiento de los datos personales objeto del contrato de encargo.
Algunas de estas sanciones:
- PS00313-2025: sanción de 50.000 €. por una infracción del art. 28 RGPD. Entre otras cuestiones por no concretar medidas técnicas y organizativas específicas, las previsiones contractuales relativas a medidas de seguridad se limitaban a enunciar objetivos generales.
- PS00227-2024: sanción de 25.000 € por una infracción del art. 28.3 RGPD. Entre otras cuestiones por incluir en el contrato de encargo meras referencias a la necesidad de que el encargado cuente con medidas de seguridad de las establecidas en el art. 32 RGPD, no suponiendo esta cláusula el cumplimiento de lo previsto en el art. 28.3 c) del RGPD.