Saltar al contenido

Modelo de contrato de corresponsabilidad en el tratamiento de datos.

Contrato de corresponsabilidad

1.- Breve explicación

En el artículo 4.7 del Reglamento General de Protección de Datos, se define al responsable del tratamiento como aquella persona física o jurídica, autoridad pública, servicio u otro organismo, que determina los fines y medios del tratamiento de los datos personales. Es decir, el responsable va a decidir cuestiones, tales como, los medios para comunicar la información relativa a los datos personales al interesado, el protocolo de actuación en el ejercicio de sus derechos, así como las instrucciones que han de seguir los encargados del tratamiento.

Dicho esto, cuando se determinan conjuntamente entre varios responsables los fines o los medios del tratamiento, el RGPD en su artículo 26.1 recoge la figura del corresponsable del tratamiento: “Cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento serán considerados corresponsables del tratamiento. Los corresponsables determinarán de modo transparente y de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por el presente Reglamento, en particular en cuanto al ejercicio de los derechos del interesado y a sus respectivas obligaciones de suministro de información a que se refieren los artículos 13 y 14, salvo, y en la medida en que, sus responsabilidades respectivas se rijan por el Derecho de la Unión o de los Estados miembros que se les aplique a ellos. Dicho acuerdo podrá designar un punto de contacto para los interesados”. 

Por último, los aspectos mínimos que deberá regular el acuerdo de corresponsabilidad para cumplir con los requisitos que la normativa establece para llevar a cabo un tratamiento como corresponsables protegiendo debidamente los datos personales objeto de tratamiento, deberá contener:

  • las respectivas responsabilidades y roles que asumirán los corresponsables;
  • el modo de informar a los interesados sobre las características del tratamiento y, cuando no resulte directamente de la configuración del tratamiento, cuál de los corresponsables deberá informar;
  • las obligaciones de implantación de medidas técnicas y organizativas de cada corresponsable y el mecanismo establecido en caso de violaciones de seguridad;
  • un punto de contacto para el ejercicio de derechos;
  • un mecanismo de cooperación entre los corresponsables para responder al ejercicio de derechos por parte de los interesados;
  • cuando sea necesario, una metodología de evaluación de impacto conjunta; y
  • un mecanismo acordado de contratación de encargados de tratamiento.

2.- Legislación aplicable

  • REGLAMENTO (UE) 2016/679 de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos o RGPD). En concreto se regula en su artículo 26. 
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. En concreto se regula en su artículo 29 que remite al 26.1 del RGPD. 

Modelo – Contrato de Corresponsabilidad

En __________, a __/__/_____ 

REUNIDOS 

De una parte, D./Dª _____________ con DNI / CIF núm. __________ y domicilio a estos efectos en ___________. 

De otra parte, D./Dª _____________ con DNI / CIF núm. __________ y domicilio a estos efectos en __________. 

INTERVIENEN 

El primero, en nombre y representación de ___________. 

El segundo, en nombre y representación de ___________ . 

Y, reconociéndose ambas partes, mutua y recíprocamente con capacidad legal suficiente para el presente acto, 

EXPONEN 

1.- Que ambas empresas han determinado conjuntamente los objetivos y los medios del tratamiento, por lo que son consideradas corresponsables del tratamiento. 

2.- Que, en cumplimiento con lo dispuesto en el artículo 26 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, el tratamiento de datos de carácter personal de los corresponsables requiere la determinación de modo transparente y de mutuo acuerdo de las responsabilidades respectivas, especialmente respecto al ejercicio de los derechos del interesado y sus obligaciones de suministro de información. 

De acuerdo con lo anterior, las partes suscriben el presente contrato, que se regirá de conformidad con las siguientes 

CLÁUSULAS 

PRIMERA.- Definiciones 

Responsable del tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. 

Corresponsables del tratamiento: aquellos responsables que determinan conjuntamente los objetivos y los medios del tratamiento. 

SEGUNDA.- Objeto 

Mediante las presentes cláusulas las entidades firmantes se reconocen la condición de CORRESPONSABLES respecto al tratamiento de datos personales relativos al servicio de _______________. En concreto, los tratamientos a realizar son: ________________ ________________ 

TERCERA.- Obligaciones de los corresponsables del tratamiento 

Los corresponsables del tratamiento se obligan a: 

1. Garantizar por parte de los interesados ante cualquiera de los corresponsables el ejercicio de los derechos de: 

  • Acceso, rectificación, supresión y oposición 
  • Limitación del tratamiento.
  • Portabilidad de datos 
  • A no ser objeto de decisiones individualizadas (incluida la elaboración de perfiles) 

2. Los corresponsables deben resolver dentro del plazo establecido las solicitudes de ejercicio de derechos y comunicar a la otra parte la recepción de la solicitud a fin de que puedan resolver conjuntamente dichas solicitudes. 

3. Los corresponsables, en el momento de la recogida de los datos, deben facilitar la información relativa a los tratamientos de datos que se van a realizar, incluyendo la identidad de los diversos responsables del tratamiento. 

4. Los corresponsables notificarán al resto de responsables del tratamiento, sin dilación indebida, y en cualquier caso antes del plazo máximo de 48 horas, y a través de comunicación electrónica, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. 

5. Corresponde al corresponsable del tratamiento que haya sufrido una violación de seguridad de los datos personales comunicar dicha circunstancia en el menor tiempo posible a los interesados, cuando sea probable que la violación suponga un alto riesgo para los derechos y las libertades de las personas físicas. La comunicación debe realiz arse en un lenguaje claro y sencillo y deberá, como mínimo: a) Explicar la naturalez a de la violación de datos. b) Indicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información. c) Describir las posibles consecuencias de la violación de la seguridad de los datos personales. d) Describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos. 

6. Realizar conjuntamente las evaluaciones de impacto relativas a la protección de datos, cuando proceda. 

7. Ambas partes se obligan a poner mutuamente a su disposición toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él. 

8. Implantar las medidas de seguridad necesarias. 

9. Designar un delegado de protección de datos si así lo exige la legislación europea y nacional, y comunicar su identidad y datos de contacto al responsable. 

CUARTA.- Duración y resolución del contrato 

El presente contrato se considera accesorio a la condición de las partes de corresponsables del tratamiento, por lo que su duración y extinción queda supeditada a la existencia de dicha condición. 

QUINTA.- Ley aplicable y foro 

El presente contrato se regirá e interpretará conforme a la legislación española en aquello que no esté expresamente regulado, sometiéndose las partes, para las controversias que pudieran surgir en relación con el mismo, a la competencia de los Juzgados y Tribunales de la ciudad de ____________, con renuncia a cualquier otro fuero que les pudiera corresponder. 

Y en prueba de su conformidad, firman las partes el presente contrato en duplicado ejemplar y a un sólo efecto, en lugar y fecha señalados en el encabezamiento. 

                    D./Dª _______________                      D./Dª ________________

Deja un comentario

A %d blogueros les gusta esto: