En muchas situaciones, el tratamiento de datos no es realizado por el responsable, sino que este último lo encarga a un tercero, lo que se da en el marco de un contrato: mandato de tratamiento de datos.
¿Qué son los mandatos de tratamiento de datos? ¿Quiénes son sus partes? Entérate de las nuevas obligaciones de la nueva Ley de Protección de Datos en relación con el tratamiento de datos por parte de terceros.
Ley 19,628 v/sNueva Ley de Datos Personales
La Ley 19.628 establecía que el mandato para el tratamiento de datos deberá ser otorgado por escrito, dejando especial constancia de las condiciones de la utilización de los datos. Esta escueta regulación, viene a ser complementada en la nueva ley.
| Ley 19.628 | Nueva ley de Datos Personales |
|---|---|
| Se regula de forma general el mandato, el cual debe ser otorgado por escrito y establecer las condiciones de uso de los datos. Mandatario debe respetar estipulaciones en cumplimiento del encargo. | Se regula de forma específica. Mandatario debe cumplir una serie de obligaciones en el tratamiento de datos y suprimir o devolver los datos una vez que termine el encargo. |
¿Qué son los mandatos de tratamientos de datos o data processing agreements?
El responsable de datos puede efectuar el tratamiento de datos de dos maneras: (i) de forma directa, realizando él todas las actividades de tratamiento; o (ii) a través de un tercero mandatario o encargado.
En este último caso, el tercero mandatario o encargado debe llevar a cabo el tratamiento de datos de acuerdo con las instrucciones que le imparta el responsable, quedándole prohibido su tratamiento para un objeto distinto al convenido con el responsable.
La nueva ley indica que tratamiento de datos a través de un tercero mandatario o encargado se regirá por un contrato celebrado entre el responsable y el encargado.
¿Quiénes son las partes de este mandato de tratamiento de datos?
En el contrato de mandato de tratamiento de datos intervienen dos partes. Generalmente, esta figura se da entre el responsable (p. ej. un cliente que requiere realizar un tratamiento de datos) y el tercero mandatario o encargado (p. ej. empresa encargada de la gestión de los datos del cliente).
Responsable del tratamiento
Se denomina responsable a toda persona natural o jurídica, pública o privada, que decide acerca de los fines y medios del tratamiento de datos personales. Mediante el contrato de mandato, encarga a otra persona la gestión de sus datos, estableciendo la manera en que deben tratarse.
Tercero mandatario o encargado
Por su parte, el tercero mandatario o encargado del tratamiento es la persona natural o jurídica que trata datos personales por cuenta del responsable de datos. El tercero mandatario debe realizar este encargo de acuerdo con las indicaciones del responsable, según lo delimitado en el contrato de mandato.
Menciones esenciales del contrato de mandato
Según la nueva ley, dicho contrato debe contener: (i) el objeto del encargo, (ii) la duración, (iii) la finalidad del tratamiento, (iii) el tipo de datos personales tratados, (iv) las categorías de titulares a quienes conciernen los datos, entre otros.
La Agencia pondrá a disposición del público modelos tipo de contratos en su página web.
El mandatario o encargado deberá cumplir con otras obligaciones establecidas en la ley, entre ellas, las medidas de seguridad. Por último, la ley señala que al cumplir la prestación del servicio de tratamiento por parte del tercero mandatario o encargado, los datos que obran en su poder deben ser suprimidos o devueltos al responsable de datos, según corresponda.