Contexto regulatorio actual v/s Proyecto de Ley de Datos Personales
La Ley 19.628 establece que el mandato para el tratamiento de datos deberá ser otorgado por escrito, dejando especial constancia de las condiciones de la utilización de los datos. Esta escueta regulación, viene a ser complementada en el proyecto de ley.
| Ley 19.628 | Proyecto de ley de Datos Personales |
|---|---|
| Se regula de forma general el mandato, el cual debe ser otorgado por escrito y establecer las condiciones de uso de los datos. Mandatario debe respetar estipulaciones en cumplimiento del encargo. | Se regula de forma específica. Mandatario debe cumplir una serie de obligaciones en el tratamiento de datos y suprimir o devolver los datos una vez que termine el encargo. |
¿Qué son los mandatos de tratamientos de datos o data processing agreements?
El responsable de datos puede efectuar el tratamiento de datos de dos maneras: (i) de forma directa, realizando él todas las actividades de tratamiento; o (ii) a través de un tercero mandatario o encargado.
En este último caso, el tercero mandatario o encargado debe llevar a cabo el tratamiento de datos de acuerdo con las instrucciones que le imparta el responsable, quedándole prohibido su tratamiento para un objeto distinto al convenido con el responsable.
El proyecto indica que tratamiento de datos a través de un tercero mandatario o encargado se regirá por un contrato celebrado entre el responsable y el encargado.
¿Quiénes son las partes de este mandato de tratamiento de datos?
En el contrato de mandato de tratamiento de datos intervienen dos partes. Generalmente, esta figura se da entre el responsable (p. ej. un cliente que requiere realizar un tratamiento de datos) y el tercero mandatario o encargado (p. ej. empresa encargada de la gestión de los datos del cliente).
Responsable del tratamiento
Se denomina responsable (o “controlador de datos” en términos del Reglamento General de Protección de Datos de la Unión Europea – RGPD) a toda persona natural o jurídica, pública o privada, que decide acerca de los fines y medios del tratamiento de datos personales. Mediante el contrato de mandato, encarga a otra persona la gestión de sus datos, estableciendo la manera en que deben tratarse.
Tercero mandatario o encargado
Por su parte, el tercero mandatario o encargado del tratamiento (o “procesador de datos” en términos del RGPD) es la persona natural o jurídica que trata datos personales por cuenta del responsable de datos. El tercero mandatario debe realizar este encargo de acuerdo con las indicaciones del responsable, según lo delimitado en el contrato de mandato.
Menciones esenciales del contrato de mandato
Según el proyecto, dicho contrato debe contener: (i) el objeto del encargo, (ii) la duración, (iii) la finalidad del tratamiento, (iii) el tipo de datos personales tratados, (iv) las categorías de titulares a quienes conciernen los datos, entre otros.
La Agencia pondrá a disposición del público modelos tipo de contratos en su página web.
El mandatario o encargado deberá cumplir con otras obligaciones establecidas en la ley, entre ellas, las medidas de seguridad. Por último, la ley señala que al cumplir la prestación del servicio de tratamiento por parte del tercero mandatario o encargado, los datos que obran en su poder deben ser suprimidos o devueltos al responsable de datos, según corresponda.