Todavía hoy se siguen utilizando contratos de encargo de tratamiento que incluyen referencias genéricas al artículo 32.1 del RGPD sobre medidas de seguridad, sin concretar qué controles técnicos y organizativos se aplicarán en la práctica.
👉 Este enfoque es un riesgo jurídico directo, porque el artículo 28.3 RGPD exige que el contrato:
– (c) detalle las medidas de seguridad concretas y adecuadas al tratamiento.
– (d) identifique con claridad a los subencargados autorizados, así como el procedimiento de información ante nuevas incorporaciones o sustituciones.
– (f) regule cómo el encargado asistirá al responsable en el cumplimiento de sus obligaciones, incluidas las relativas a la gestión de derechos de los interesados y a la seguridad de los datos.
🔎 La Agencia Española de Protección de Datos (AEPD) ya ha sancionado con 4.000 € la falta de precisión en estos contratos, confirmando que remitirse de forma genérica al 32.1 no basta.
📌 Además, el Considerando 81 RGPD subraya la necesidad de que el encargado proporcione garantías suficientes en materia de medidas técnicas y organizativas para asegurar el cumplimiento normativo.
💡 Recomendación práctica:
* Sustituir la remisión genérica por un anexo de medidas de seguridad concretas, actualizado periódicamente.
* Establecer un procedimiento claro de comunicación y autorización de subencargados.
* Incluir una cláusula específica de cooperación activa del encargado con el responsable.
En materia de protección de datos, los contratos de encargo no son simples formalidades, sino un mecanismo esencial de corresponsabilidad.
