La autoridad de control danesa ha publicado el texto final para los contratos entre responsables y encargados en el registro del CEPD.
La autoridad de control danesa ha publicado sus cláusulas contractuales para contratos entre responsables y encargados de tratamiento, en cumplimiento con el artículo 28 (3) RGPD, conforme a la Opinión 14/2019 del CEPD.
El objetivo de esta iniciativa es especificar las provisiones y ayudar a las organizaciones a cumplir los requisitos del artículo 28 (3) y 28 (4) más allá del texto del RGPD.
Las cláusulas tienen prioridad sobre otras provisiones similares recogidas en otros acuerdos entre las partes, pero no les impiden añadir cláusulas o garantías adicionales, siempre y cuando no contradigan las cláusulas, ya sea de forma directa o indirecta, o perjudiquen los derechos y libertades fundamentales de los interesados. Cabe señalar que el uso de estas cláusulas no es obligatorio, con lo que las empresas pueden utilizar sus propias plantillas o contratos.
¿Cuáles son las novedades?
Las cláusulas contractuales tipo para contratos entre responsables y encargados de tratamiento añaden algunos desarrollos al artículo 28 (3) RGPD:
- El encargado tiene que mantener bajo revisión continua una lista de personas a quienes se les haya otorgado acceso a los datos. El encargado tendrá que ser capaz de demostrar que dichas personas están sujetas al deber de confidencialidad.
- El responsable puede requerir al encargado implementar medidas de seguridad adicionales.
- El responsable puede establecer un período mínimo de tiempo para que el encargado presente la solicitud de autorización o informe sobre el uso de nuevos sub-encargados.
- El responsable puede solicitar una copia de los acuerdos del encargado con los sub-encargados para asegurar que se aplican las mismas obligaciones que aquellas contenidas en las cláusulas.
- Especificaciones sobre la asistencia que debe prestar el encargado al responsable.
- El responsable puede establecer un período máximo del encargado para notificar una brecha de seguridad.
Es importante destacar que, aunque se denominan “Cláusulas Contractuales Tipo”, no deberían confundirse con las Cláusulas Contractuales Tipo adoptadas por la Comisión Europea, las cuales deberán añadirse a los acuerdos en los que el receptor de los datos esté establecido fuera de la UE si no se proporcionan otros mecanismos como las BCR o el Privacy Shield.
Puedes leer sobre las últimas novedades sobre dichas cláusulas en nuestro blog sobre el caso Schrems II.
