¿Qué va a pasar con los contratos de encargado de tratamiento en vigor concertados antes del 25 de mayo de 2018?

Miniatura noticia

Actualización al pie de la entrada, 8 de agosto 2018.

A partir del 25 de mayo de 2018 todo contrato que se concierte que implique la prestación de un servicio que pueda considerarse como un tratamiento por  cuenta de terceros deberá  tener en cuenta todo lo recogido en el artículo 28 del RGPD.

Ahora bien, llegada esa fecha lo normal es que en cualquier organización nos encontremos con contratos de encargado de tratamiento en vigor concertados bajo el régimen de la LOPD y el RDLOPD que, lógicamente, no cumplen todas las prescripciones del nuevo reglamento europeo.

Dichos contratos no quedarían automáticamente revocados con la aplicabilidad del RGPD, sino que, de acuerdo con las previsiones de la nueva normativa española, actualmente en fase de tramitación, mantendrán su vigencia durante un plazo determinado, debiendo durante el mismo ser adaptados a las nuevas exigencias del RGPD si se quieren mantener pasado ese plazo transitorio.

Ese régimen transitorio se recogería en la disposición transitoria quinta del proyecto de LOPD en los siguientes términos:

Los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y, en caso de haberse pactado de forma indefinida, hasta transcurridos cuatro años desde la citada fecha.

En caso de que los contratos previesen su prórroga al término de su vencimiento, ya fuera por mutuo acuerdo entre las partes o en ausencia de denuncia por cualquiera de ellas, deberá producirse su adaptación con anterioridad al momento en que estuviera prevista dicha prórroga.

De acuerdo con esta redacción, a mi juicio nos podemos encontrar con tres situaciones:

  • Contratos con fecha de vencimiento definida: hasta que se alcance la misma.
  • Contratos con fecha de vencimiento definida pero con previsión de prórroga de mutuo acuerdo o por falta de denuncia: antes del inicio de la prórroga debe producirse su adaptación
  • Contratos pactados sin fecha de vencimiento indefinida: hasta el 25 de mayo de 2022.

De los tres supuestos, solo me gusta la solución para los contratos vigentes en período inicial con posibilidad de prórroga, ya que para que ésta se dé debe haberse previamente adaptado la relación a las exigencias del nuevo RGPD. Pero en los otros dos supuestos se bendice el mantenimiento sin adaptación hasta un plazo de cuatro años de prestaciones de servicios con acceso a datos incumpliendo el RGPD.

Finalizado el plazo de enmiendas al proyecto, ninguno de los grupos ha propuesto la supresión de ese régimen transitorio, por lo que parece que, sí o sí, la versión final de la norma lo recogerá. Pero lo que sí se han presentado por el Grupo Parlamentario Socialista y por el Grupo Parlamentario Popular son sendas enmiendas con una redacción alternativa.

Así, el Grupo Socialista propone lo siguiente:

Los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y, en caso de haberse pactado de forma indefinida, hasta transcurridos cuatro años desde la citada fecha.

En caso de que los contratos previesen su prórroga al término de su vencimiento, ya fuera por mutuo acuerdo entre las partes o en ausencia de denuncia por cualquiera de ellas, la validez máxima del contrato será de cuatro años a contar desde el 25 de mayo de 2018.

 

Particularmente considero que la propuesta no mejora la redacción inicial, sino que la empeora, dado que suprime la necesidad de adaptación del contrato a las exigencias del RGPD en aquellos contratos con fecha de vencimiento definida pero con previsión de prórroga de mutuo acuerdo o por falta de denuncia si se quiere que la prórroga surta efectos.

Por su parte, el Grupo Popular desea modificar la redacción inicial en los términos siguientes:

Los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022.

 

Durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el artículo 28 del Reglamento (UE) 2016/679 y en el Capítulo II del Título V de esta Ley Orgánica.»

Personalmente, tampoco considero que mejore la redacción inicial, porque, al igual que la propuesta socialista, elimina el supuesto de los contratos en vigor con fecha de vencimiento definida con previsión de prórroga, y tampoco obliga a la adaptación de los contratos que continúen vigentes (en plazo inicial o prorrogados), ya que ello se he redactado como una potestad de las partes  (podrá exigir) y no como una obligación.

Pero, con independencia de cuál sea la redacción final de ese régimen transitorio, el problema es que como el Gobierno y el Parlamento se han dormido en los laureles esa previsión normativa no estará aprobada antes del 25 de mayo, que es lo que se tendría que haber hecho si nuestros políticos fueran mínimamente responsables. Así que… ¿qué pasará con los contratos suscritos antes del 25 de mayo y vigentes tras esa fecha?

  • ¿Cómo no habrá período transitorio en vigor deberán espabilar los responsables del tratamiento y haber actualizado sus contratos con encargados del tratamiento antes del 25 de mayo y resuelto los que no haya podido actualizar?
  • ¿Se seguirá adelante con la idea de establecer un período transitorio, pesar de haberse iniciado la aplicación plena del RGPD, a toro pasado, y mientras tanto hacemos la vista gorda?
  • ¿Se abandonará la idea del período transitorio, dado que no ha podido aprobarse antes del 25 de mayo, y apáñese usted, señor responsable del tratamiento, no haberse fiado?

A lo mejor es una tontería -y puede que sea matar moscas a cañonazos y juridicamente además no lo ven ustedes viable- pero una posible vía sería regular esa transitoriedad, sin esperar a la aprobación de la LOPD 2.0, vía Decreto-ley, que la Constitución Española habilita en su artículo 86 al Gobierno a dictarlos en casos de extraordinaria y urgente necesidad.

Podrán ustedes argumentar, amén de si lo que planteo puede considerarse como de extraordinaria y urgente necesidad, que los Decretos-leyes no pueden afectar a los derechos, deberes y libertades regulados en el Título I de la Constitución, que es donde precisamente se incardina el artículo 18.4, que recoge el derecho a la protección de datos. Pero es que el régimen transitorio del que les hablo se recoge en el proyecto de nueva LOPD en una disposición transitoria, y de acuerdo con lo dispuesto en la Disposición final primera del propio proyecto, sus disposiciones transitorias no tienen el carácter de ley orgánica.

¿Ven ustedes alguna otra solución para salvar al soldado Ryan? Se admiten todo tipo de sugerencias.

Foto: se le parece, pero no es la aldea de los irreductibles galos. Es el reducto en el que se han refugiado los encargados del tratamiento con contratos en vigor anteriores al 25 de mayo de 2018.

 

Actualización: el Gobierno nos lee 🙂 Publicado en el BOE de 30 de julio de 2018 el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos, cuya disposición transitoria segunda recoge el mismo régimen transitorio previsto en el proyecto de LOPD 2.0 para los encargados de tratamiento.


2 comentarios

  1. Álvaro Liñán Delgado
    31 de mayo de 2018 @ 09:16

    Entonces, la recomendación oficial, hoy por hoy, es adaptar todos los contratos de Encargado del Tratamiento a las exigencias del RGPD, ¿no? Ya que esta disposición transitoria no puede ser aplicada hasta que se apruebe la nueva LOPD y el RGPD no hace distinción entre contratos firmados antes del 25 de mayo y posteriores a esta fecha.

    Responder

    • Alfonso Pacheco
      1 de junio de 2018 @ 20:34

      Hola, Álvaro.

      Gracias por tu comentario. Efectivamente, lo suyo es adaptar los contratos.

      Responder

Responder a Alfonso Pacheco Cancelar

Protección de datos de carácter personal: con el envío del comentario, el usuario admite haber leído y aceptado la información en materia de protección de datos de carácter personal que se incluye en la información legal existente en esta página, al que se accede a través de pestaña bajo ese título, "Información legal" , situada en la parte superior de la página de inicio de este blog, y donde se informa de los titulares del blog, de las finalidades para las que se utilizarán los datos personales comunicados, así como la dirección para el ejercicio de los derechos reconocidos en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Los datos marcados con asterisco, son de obligado cumplimiento para aceptar la publicación del comentario. Si tales datos no fuesen facilitados, el comentario enviado será eliminado sin proceder a su publicación.

*