15 anos de Clicksign: 15% OFF para contratar seu plano agora.
Ver planos
Quer automatizar tarefas repetitivas e acelerar a gestão dos seus documentos?
Quer utilizar o WhatsApp para acelerar o envio e assinatura de documentos?
Quantos documentos você precisa enviar para assinatura mensalmente?
O plano ideal para você é o
Plano Start

documentos

Contratar
O plano ideal para você é o
Plano Plus

documentos

Contratar
O plano ideal para você é o
Plano Automação

documentos

Contratar
O plano ideal para você é o
Plano Avançado
Contato
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Acuerdo de procesamiento de datos personales: ¿qué es y qué importancia tiene?

Acuerdo de procesamiento de datos personales: ¿qué es y qué importancia tiene?

Publicado em:
01
/
09
/
2023

La aprobación de la Ley General de Protección de Datos Personales (LGPD), que tiene como objetivo proteger a las personas contra el uso abusivo o perjudicial de sus datos personales por parte de terceros, cumplió cinco años en agosto de 2023. Con este fin, la Ley creó una serie de obligaciones para las empresas, organizaciones y autoridades públicas que utilizan información personal en el desempeño de sus actividades, las denominadas «agentes de tratamiento».

En este contexto, cuando las actividades que involucran datos personales son llevadas a cabo por más de una organización, establecer un contrato de procesamiento de datos personales es esencial para definir qué actividades llevará a cabo cada agente de tratamiento y las responsabilidades respectivas que se derivan de ellas. Los acuerdos, conocidos como DPA - Acuerdos de protección de datos, son también una forma de demostrar los esfuerzos de las organizaciones por cumplir las normas aplicables, de conformidad con el principio de rendición de cuentas.

Al delimitar el alcance del tratamiento, indicando qué datos se procesarán, con qué fines y con qué controles de seguridad, se minimizan los riesgos de uso abusivo o ilegal de los datos personales y de violaciones de seguridad. Por lo tanto, firmar DPA es una forma de Cumplimiento legal y garantía de los derechos de los interesados.

Vale la pena decir que las cláusulas contractuales también pueden establecer criterios y parámetros más objetivos para distribuir las responsabilidades entre las partes involucradas, reduciendo las incertidumbres y contingencias comerciales. En otras palabras, un contrato de buen trato proporciona una forma de medir el cumplimiento de las obligaciones impuestas por la LGPD. Los DPA son acuerdos voluntarios como cualquier otro, y deben negociarse para llegar a un punto de composición común que haga posibles las transacciones legales. Por lo tanto, es una forma de generar valor y reducir los riesgos para los agentes de tratamiento.

Este texto tiene como objetivo explicar los pasos para una negociación positiva de los contratos de procesamiento de datos personales, incluidas las principales cláusulas que deben estar presentes en el acuerdo.

Frame 2-2

Definiciones previas a la negociación del acuerdo de procesamiento de datos personales

Antes de negociar un acuerdo, es importante comprender algunos aspectos materiales relacionados con la actividad operativa de procesamiento de datos personales que tendrá lugar entre las partes. Estos aspectos influirán en el nivel de complejidad de las cláusulas del acuerdo y en el acuerdo legal establecido entre los agentes de procesamiento de datos.

Nivel de crítica de la actividad de tratamiento entre las partes

En primer lugar, es necesario determinar la importancia del tratamiento al que se refiere el contrato. Los factores desencadenantes que llevan a una organización a clasificar una operación de tratamiento como crítica o de alto riesgo deben determinarse contextualmente. Por ejemplo, una actividad de tratamiento puede considerarse crítica cuando se presentan las siguientes características:

  • el elevado volumen de datos personales tratados entre las Partes contratantes, en vista del contexto de las actividades realizadas;
  • procesamiento de datos personales sensibles en las actividades de procesamiento.

Siempre que una actividad de procesamiento entre agentes se considere crítica, vale la pena considerar la posibilidad de negociar un contrato con cláusulas más sólidas, para mitigar los riesgos de uso abusivo o ilegal de datos personales y violaciones de seguridad. En los casos considerados no críticos o de bajo riesgo, el acuerdo entre las partes puede ser más sencillo, lo que reduce el tiempo de negociación de los documentos y gana en agilidad a la hora de firmarlo.

Definir el rol de cada uno en el proceso de procesamiento de datos personales

Una vez definido el nivel de crítica a las actividades de tratamiento reguladas por el acuerdo, es importante comprender el flujo de datos personales entre las partes. Este análisis identificará las obligaciones aplicables a cada una de las partes y el régimen jurídico adecuado para la empresa, es decir, si la relación que se establece entre las partes es entre el responsable y el operador, entre el operador y el suboperador o entre responsables conjuntos o independientes.

Si bien algunas obligaciones se aplican a todos los agentes, como mantener un registro de las operaciones de tratamiento o implementar medidas de seguridad, las responsabilidades de cada uno son diferentes.

Según la Ley, el controlador es el agente responsable de las «decisiones esenciales» para el procesamiento de datos personales. La Directriz sobre la definición de los agentes de procesamiento de la Autoridad Nacional de Protección de Datos Personales (ANPD) explica cuáles serían estas «decisiones esenciales» que convierten a un agente en el controlador de la actividad de tratamiento:

  • La naturaleza de los datos personales procesados (número de seguridad social, datos biométricos, número de teléfono, etc.);
  • Los formularios y los propósitos de las actividades de procesamiento de datos personales (cómo se recopilan, almacenan, hacen referencias cruzadas, etc.);
  • La duración del tratamiento (es decir, cuando finaliza el tratamiento, de conformidad con los artículos 15 y 16 de la LGPD).

En este sentido, el controlador tiene obligaciones específicas, como preparar un informe de impacto sobre la protección de los datos personales, demostrar que el consentimiento obtenido del titular es legal (si la base legal es el consentimiento), comunicarse a la ANPD en caso de incidentes con datos personales y responder a las demandas de los interesados. Por regla general, el controlador es el agente responsable de compensar y compensar los daños causados a terceros o propietarios por las actividades de procesamiento de datos personales.

El operador, a su vez, lleva a cabo el procesamiento de datos personales en nombre del controlador y de acuerdo con sus instrucciones. El operador, por lo tanto, debe tratar los datos para los fines delimitados y en las formas definidas por el controlador. En este sentido, se considera que el operador es responsable solidariamente con el controlador por los daños causados a terceros y propietarios debido a las actividades de tratamiento en dos casos: (i) cuando infringe la LGPD o (ii) cuando no cumple con las instrucciones del controlador.

Por último, el suboperador es el agente contratado por el operador para llevar a cabo actividades de procesamiento de datos en nombre del controlador. Como esta figura no está definida por la ley (solo aparece en la Guía de la ANPD antes mencionada), ante las autoridades de protección de datos, un suboperador tiene la misma función y responsabilidades que el operador.

Son posibles varios acuerdos entre las partes de un acuerdo de tratamiento. Es posible que el responsable del tratamiento sea un tercero y que el acuerdo de tratamiento se firme entre el operador y el suboperador. O, incluso, que las dos partes sean controladores conjuntos, si hay decisiones comunes o convergentes sobre los elementos esenciales del tratamiento. Una vez definido este acuerdo y el tipo de contrato (más simple o más complejo) aplicable al caso, es posible empezar a negociar las disposiciones del contrato.

Qué debe incluirse en un acuerdo de procesamiento de datos personales

Los contratos de protección de datos deben establecer parámetros objetivos de las responsabilidades de cada una de las partes, es decir, las especificidades que no están cubiertas por el texto genérico de la Ley. De esta forma, se reducen y mitigan las incertidumbres y los riesgos de las actividades de tratamiento. En este sentido, es importante que el documento también incluya los siguientes aspectos:

Plazo

Determine cuánto duran las obligaciones establecidas en el contrato, teniendo en cuenta la forma en que se llevan a cabo las actividades de tratamiento a lo largo del tiempo. Es interesante que la vigencia del contrato sea equivalente al período de almacenamiento de los datos de la (s) parte (s) receptora (s).

Obligaciones de las partes

Es importante establecer las obligaciones de cada una de las partes del acuerdo, ya que es posible que muchas obligaciones no estén previstas por la ley, como las directrices específicas de una política de privacidad, los requisitos específicos de la norma ISO o incluso las obligaciones establecidas por la legislación extranjera, si corresponde.

Colaboradores

La ocurrencia de incidentes generalmente está relacionada con la acción humana. Por lo tanto, es interesante que en el acuerdo entre las partes se prevea la formación y la sensibilización de los profesionales que actúan en nombre de los agentes de tratamiento sobre las buenas prácticas de privacidad y protección de datos.

Agentes de tratamiento

Esta cláusula debe reflejar el acuerdo establecido en el paso anterior. Si una de las partes es un controlador y la otra es un operador, puede ser interesante establecer que este último debe seguir las instrucciones legales del primero para las actividades de procesamiento, reforzando el texto legal.

Deber de cooperar

La ley no impone un deber de cooperación entre las Partes. Por lo tanto, es importante definir en qué casos deben colaborar. Algunos ejemplos están cooperando para:

  • responder, dentro del plazo legal, a las solicitudes de los interesados de los datos personales;
  • proporcionar información y facilitar las investigaciones sobre los incidentes relacionados con los datos personales, como las filtraciones de datos o el procesamiento abusivo de datos, lo que incluye limitar la divulgación de información sobre posibles incidentes de datos únicamente a lo exigido por la ley y sus reglamentos;
  • quién debe cumplir con las solicitudes presentadas por las autoridades judiciales o administrativas, como la ANPD y los plazos para esta respuesta;
  • recopilar pruebas de los ajustes a Marcos aplicable a posibles auditorías. Al tratarse de un tratamiento crítico o de alto riesgo, es posible conceder una indemnización y/o la rescisión de los contratos entre las partes sin perjuicio de la parte perjudicada, si no se demuestra la cooperación de la otra parte.

Datos personales tratados

Teniendo en cuenta que uno de los elementos esenciales de las actividades de tratamiento es la definición de los tipos de datos procesados, incluida la categoría de titulares, es importante asignar la responsabilidad de la legitimidad de esta elección al responsable del tratamiento, limitando también las opciones del operador o suboperador involucrado en la actividad.

En algunos casos, cuando existe un mayor riesgo, puede ser interesante definir en un contrato los tipos específicos de datos personales procesados para vincular a ambas partes a ese conjunto. Para que la relación no quede ciega y dependa de la firma de aditivos para añadir o eliminar datos de esta lista, es posible acordar que los procesadores de datos o los equipos legales de las partes puedan realizar estos cambios por correo electrónico.

Finalidad y base legal

Esta cláusula sigue la misma lógica que la anterior. El controlador es responsable de esta definición, que limita las actividades de los operadores y suboperadores. Los propósitos y la base legal pueden describirse en el contrato, si las partes entienden que esto tiene sentido.

Compartir

Las partes deben definir si pueden o no compartir datos personales con otros terceros. Por ejemplo, un controlador puede querer impedir que su operador comparta los datos personales a los que tenga acceso en virtud del acuerdo con los suboperadores.

Sin embargo, hay que tener en cuenta que, en la actualidad, muchos agentes de tratamiento participan en la cadena de suministro del servicio, especialmente cuando son digitales. Por tanto, este impedimento puede limitar, por otro lado, los servicios que el operador ofrece al controlador.

Otra limitación que se puede establecer en esta cláusula es en relación con el propósito de compartir. En este caso, el controlador podría aceptar el intercambio, siempre que el propósito sea cumplir con el propio Acuerdo o con otros acuerdos comerciales entre las partes.

Dado que el intercambio está autorizado, es importante establecer que los Acuerdos se deben firmar con terceros, reflejando las obligaciones del Acuerdo original. Por último, en un contrato entre el operador y el controlador, es posible establecer que, si los suboperadores causan incidentes con los datos, el operador debe compensar al controlador.

Transferencia internacional de datos personales

Esta cláusula sigue la misma lógica que la cláusula de compartición anterior. Sin embargo, si el controlador lo autoriza, la transferencia debe basarse en uno de los instrumentos del art. 33 de la LGPD. Mientras no exista una regulación de la ANPD sobre el tema, que especifique qué países tienen un grado de protección adecuado, o un modelo de cláusulas estándar, o incluso qué sellos y certificados son válidos, el controlador tendrá que recurrir a una de las otras hipótesis.

En cualquier caso, esta cláusula puede reforzar que la asignación del instrumento apropiado para la transferencia es responsabilidad del controlador, eximiendo al operador y/o suboperador involucrados.

Exclusión

Según el art. 15 de la LGPD, cuando se produce una de las hipótesis de finalización del tratamiento, es necesario eliminar los datos. La terminación del tratamiento puede ocurrir, por ejemplo, debido a la consecución del propósito previsto o a la revocación del consentimiento, si esta es la base legal aplicable. La definición de terminación también es uno de los elementos esenciales de la actividad de tratamiento.

Por lo tanto, es responsabilidad del controlador evaluar cuándo, en la relación a la que se refiere el Acuerdo, finaliza el tratamiento y si hay algún propósito que autorice, por otro lado, la conservación de los datos (art. 16 de la LGPD). Es interesante que este parámetro se defina en un contrato para reducir los riesgos asociados al almacenamiento indefinido de datos personales.

seguridad

La ley establece que todos los agentes de procesamiento deben implementar medidas de seguridad para proteger los datos personales. Si hay datos personales sensibles, se puede negociar en el contrato que habrá medidas específicas para su protección. Vale la pena comprobar que no lo es Marco ¿Se ha definido algún requisito de seguridad específico que se pueda agregar a esta cláusula, como algún proceso de Privacidad por diseño o controles ISO específicos.

Incidentes de seguridad

Independientemente del acuerdo legal entre las partes, es muy importante definir que haya comunicación en un tiempo razonable sobre las incidencias con los datos. La ANPD no tiene un reglamento que especifique el período de comunicación del operador al controlador, por lo que es posible dejar la cláusula flexible para que, cuando exista tal definición, el Acuerdo ya sea adecuado. Si el Acuerdo trata de transacciones de alto riesgo, es posible negociar un plazo específico.

El contenido de esta comunicación puede ser equivalente a los requisitos del art. 48 de la LGPD. Además del plazo y el contenido, esta cláusula puede incluir otros detalles, como la entrega de un plan de corrección por parte de la parte que causó el incidente y las pruebas que demuestren el ajuste posterior; la posible indemnización a la parte inocente y la posibilidad de rescindir el contrato sin multa.

Auditoría

Para los casos de alto riesgo, se pueden negociar cláusulas de auditoría, garantizando, como mínimo, que la parte contraria presente pruebas suficientes del cumplimiento de su obligación legal.

Derechos del propietario

La función del controlador es cumplir con las solicitudes de los propietarios. Sin embargo, a veces, los operadores reciben esta demanda directamente del propietario. En estos casos, en esta cláusula se puede establecer una fecha límite para notificar al controlador, de acuerdo con la obligación de cooperación entre las partes.

Responsabilidad

La responsabilidad de las partes está directamente relacionada con la disposición legal de los agentes de procesamiento de datos. Por ejemplo, si el contrato es entre el controlador y el operador, el artículo 42 de la LGPD establece la responsabilidad solidaria en algunos casos entre las partes, pero el contrato puede explicar los límites de esta responsabilidad. Esta cláusula también puede establecer cuándo existirá el derecho a denunciar la controversia o a hacer que una de las partes se oponga a la otra.

También se puede incluir una multa contractual por el incumplimiento de las cláusulas. La cláusula de responsabilidad también puede cubrir los casos en los que una de las partes no sea responsable de la protección de datos, por ejemplo, cuando haya una decisión judicial que obligue a compartirlos.

Simplifique las negociaciones de contratos

Para que los acuerdos sean efectivos, como representación de la composición de la voluntad de las partes, es importante, en primer lugar, entender a los agentes de procesamiento involucrados y el flujo de datos personales, teniendo en cuenta la operación en su conjunto, desde la recopilación hasta la eliminación de los datos, hasta todos los agentes con los que se puede compartir esa información.

Si el objetivo es desarrollar un modelo de contrato estándar, que se negociará con varias personas o empresas diferentes, es interesante entender de antemano cuáles son las cláusulas no negociables, cuáles se pueden negociar y, en qué medida es posible asignar y qué cláusulas se pueden eliminar, sin riesgo para la organización. Comprender esto genera una mayor agilidad a la hora de negociar, lo que aporta eficiencia al proceso de análisis legal.

El uso de una firma electrónica, como Clicksign, puede ser la clave para optimizar aún más el proceso de firma de acuerdos y contratos y repercutir positivamente en la eficiencia y la comodidad de sus procesos de negociación y gestión de documentos.

Conozca nuestros funciones y planes o Realice una prueba gratuita!

Artigos relacionados

Juliana Costa
9/27/24

Modelos de contrato

Juliana Costa
3/17/25

Assinatura via WhatsApp, integração e mais: feche contratos de internet e telefonia em minutos

Juliana Costa
9/27/24

Sostenibilidad empresarial: qué es, importancia y desafíos para las empresas

Ver mais