Los contratos con proveedores encargados del tratamiento firmados antes del 25/5/2018 tenían un plazo que finaliza el próximo 25/5/2022, para modificarse conforme al RGPD. A partir de este momento, operar con estos proveedores sin las “nuevas” cláusulas es ya un incumplimiento que podría llegar a suponer altas sanciones económicas.
Así es. A finales del 2018, el legislador hizo un gran favor a las empresas, les concedía hasta finales de mayo de 2022 para ir actualizando contratos con proveedores encargados del tratamiento que se hubieran firmado antes del 25/5/2018. Suponía una decisión legislativa política al límite del cumplimiento del RGPD y que dio aire a muchas empresas.
¿De qué proveedores hablamos? De aquellos proveedores que para prestar un servicio a sus clientes necesitan acceder a datos personales que son responsabilidad de sus clientes, pero no toman la decisión de qué hacer con ellos. Es decir, deben seguir instrucciones de sus clientes. Lo son, por ejemplo, proveedores de servicios de gestión de nóminas, proveedores de servicios de hosting, etc.
Si se firmaba el contrato después del 25/5/2018, no había duda de que ya debía ser conforme el RGPD pero si era una relación histórica previa, no había urgencia para formalizar un contrato nuevo. Muchas empresas prudentemente optaron por adaptarse a la nueva norma, pero no todas.
Ahora, el problema lo tienen aquellas empresas que, habiendo debido cumplir con la adaptación en los 4 años concedidos como plazo de gracia, no lo han hecho porque, en ocasiones, han necesitado priorizar otras cosas que parecían más urgentes. La recomendación sensata ante estos casos es verificar la situación. A fin de cuentas, y así lo establece la norma, la obligación de firmar este contrato es del proveedor del servicio pero también del cliente… y la realidad es que es más probable que en caso de que haya un problema, la Agencia Española de Protección de Datos (AEPD) sancione al cliente justamente por ser el responsable del tratamiento.
Finalmente, vale la pena recordar que el incumplimiento de una obligación formal contractual puede denotar más incumplimientos de la normativa relacionados. Ejemplos de estas obligaciones relacionadas pueden ser la exigencia a estos proveedores de las garantías suficientes de que tratan los datos personales conforma la norma o bien asegurarse de que no haya subcontrataciones no legalizadas (que en alguna ocasión incluso ha provocado una transferencia internacional de datos personales no legalizada sancionada muy severamente por la AEPD).
Suscripción para recibir las últimas noticias y publicaciones de BDO
Please fill out the following form to access the download.