El GDPR establece la obligación de firmar un contrato de acceso a datos con los ET (art 28.3), esto es, con las entidades que contratamos para que nos presten un servicio, y que para dicha prestación de servicio necesitan acceder a los datos de los que somos RT (de nuestros empleados, clientes, pacientes, alumnos, afiliados, etc.), pero en ningún otro artículo se establece explícitamente la obligación de firmar un contrato con los DESTINATARIOS de datos, es decir con las empresas a las que les cedemos datos personales.
Sin embargo, atendiendo al principio de responsabilidad proactiva (o responsabilidad demostrable) del GDPR, que se podría definir como la necesidad de que el responsable del tratamiento garantice no solo el cumplimiento del Reglamento, sino que además sea capaz de demostrar este cumplimiento; lo pertinente sería que cuando llevemos a cabo una cesión de datos de carácter personal a una tercera entidad, esta cesión quede regulada contractualmente.
A través de este contrato, cualquiera de las partes podría demostrar que la cesión de datos es lícita. En este contrato, entre otros términos, se deben establecer obligaciones para las dos partes:
Para poder demostrar cualquiera de las partes que la cesión de datos es lícita es recomendable establecer un contrato o acuerdo donde se especifiquen estos términos, excepto cuando el destinatario es una autoridad u organismo públicos en el ejercicio de sus funciones públicas basadas en la legislación vigente (art. 14.5.c).
La propia autoridad de control (AEPD), en su Guía práctica para las Evaluaciones de Impacto, en su Anexo VI: Catálogo de amenazas y posibles soluciones (pág. 51) establece “si se ceden datos personales, establecer por escrito acuerdos que contemplen las condiciones bajo las que se produce la cesión y, en su caso, las relativas a cesiones ulteriores así como las posibilidades de supervisión y control del cumplimiento del acuerdo”; por lo que recomendamos que se firmen estos contratos que generamos en nuestra aplicación, con los destinatarios de datos.
Fuente: AEPD
Por todo lo expuesto, creemos que es más que aconsejable, que cada vez que cedamos datos de carácter personal, de los que somos responsables a un tercero, firmemos con éste un contrato de cesión de datos o DE DESTINATARIO de datos y en el caso que seamos nosotros los DESTINATARIOS, el contrato debería ser obligatorio ya que el receptor de los datos tiene que poder demostrar la licitud de un tratamiento de datos no obtenidos directamente del interesado.
Artículo 24 Responsabilidad del responsable del tratamiento
1. Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.
2. Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas en el apartado 1 se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos.
Artículo 13 Información que deberá facilitarse cuando los datos personales se obtengan del interesado
1. Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:
... e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
Artículo 14 Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado
1. Cuando los datos personales no se hayan obtenidos del interesado, el responsable del tratamiento le facilitará la siguiente información:
... c) los fines del tratamiento a que se destinan los datos personales, así como la base jurídica del tratamiento;
... 3. El responsable del tratamiento facilitará la información indicada en los apartados 1 y 2:
a) dentro de un plazo razonable, una vez obtenidos los datos personales, y a más tardar dentro de un mes, habida cuenta de las circunstancias específicas en las que se traten dichos datos;
b) si los datos personales han de utilizarse para comunicación con el interesado, a más tardar en el momento de la primera comunicación a dicho interesado, o
c) si está previsto comunicarlos a otro destinatario, a más tardar en el momento en que los datos personales sean comunicados por primera vez.
.... 5. Las disposiciones de los apartados 1 a 4 no serán aplicables cuando y en la medida en que:
c) la obtención o la comunicación esté expresamente establecida por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca medidas adecuadas para proteger los intereses legítimos del interesado.