El GDPR estableix l'obligació de signar un contracte d'accés a dades amb els ET (art 28.3), és a dir, amb les entitats que contractem perquè ens prestin un servei, i que per aquesta prestació de servei necessiten accedir a les dades dels que som RT (dels nostres empleats, clients, pacients, alumnes, afiliats, etc.), però en cap altre article s'estableix explícitament l'obligació de signar un contracte amb els DESTINATARIS de dades, és a dir amb les empreses a les quals els cedim dades personals.
No obstant això, atenent al principi de responsabilitat proactiva (o responsabilitat demostrable) de l'GDPR, que es podria definir com la necessitat que el responsable del tractament garanteixi no només el compliment del Reglament, sinó que a més sigui capaç de demostrar aquest compliment; el pertinent seria que quan portem a terme una cessió de dades de caràcter personal a una tercera entitat, aquesta cessió quedi regulada contractualment.
A través d'aquest contracte, qualsevol de les parts podria demostrar que la cessió de dades és lícita. En aquest contracte, entre altres termes, s'han d'establir obligacions per a les dues parts:
Per poder demostrar qualsevol de les parts que la cessió de dades és lícita és recomanable establir un contracte o acord on s'especifiquin aquests termes, excepte quan el destinatari és una autoritat o organisme públics en l'exercici de les seves funcions públiques basades en la legislació vigent ( art. 14.5.c).
La mateixa autoritat de control (AEPD), en la seva Guia pràctica per a les Avaluacions d'Impacte, en el seu Annex VI: Catàleg d'amenaces i possibles solucions (pàg. 51) estableix "si es cedeixen dades personals, establir per escrit acords que contemplin les condicions sota les que es produeix la cessió i, si s'escau, les relatives a cessions ulteriors així com les possibilitats de supervisió i control del compliment de l'acord "; pel que recomanem que es signin aquests contractes que generem en la nostra aplicació, amb els destinataris de dades.
Font: AEPD
Per tot l'exposat, creiem que és més que aconsellable, que cada vegada que cedim dades de caràcter personal, dels que som responsables a un tercer, signem amb aquest un contracte de cessió de dades o DE DESTINATARI de dades i en el cas que siguem nosaltres els DESTINATARIS, el contracte hauria de ser obligatori ja que el receptor de les dades ha de poder demostrar la licitud d'un tractament de dades no obtinguts directament de la persona interessada.
Article 24 Responsabilitat del responsable del tractament
1. Tenint en compte la naturalesa, l'àmbit, el context i les finalitats del tractament així com els riscos de diversa probabilitat i gravetat per als drets i llibertats de les persones físiques, el responsable del tractament aplicarà mesures tècniques i organitzatives apropiades per tal de garantir i poder demostrar que el tractament és conforme amb el present Reglament. Aquestes mesures s'han de revisar i actualitzar quan sigui necessari.
2. Quan siguin proporcionades en relació amb les activitats de tractament, entre les mesures esmentades a l'apartat 1 s'ha d'incloure l'aplicació, per part del responsable del tractament, de les oportunes polítiques de protecció de dades.
Article 13 Informació que s'ha de facilitar quan les dades personals s'obtinguin de l'interessat
1. Quan s'obtinguin d'un interessat dades personals relatives a ell, el responsable del tractament, en el moment en què aquests s'obtinguin, li facilitarà tota la informació indicada a continuació:
... e) els destinataris o les categories de destinataris de les dades personals, si escau;
Article 14 Informació que s'ha de facilitar quan les dades personals no s'hagin obtingut de l'interessat
1. Quan les dades personals no s'hagin obtinguts de l'interessat, el responsable del tractament li facilitarà la informació següent:
... c) els caps del tractament a què es destinen les dades personals, així com la base jurídica del tractament;