La Agencia Danesa de Protección de Datos ha introducido algunos cambios en el acuerdo tipo de tratamiento de datos en relación con la obligación de incluir al responsable del tratamiento como tercero beneficiario en caso de quiebra del encargado del tratamiento.
La Agencia Danesa de Protección de Datos ha introducido dos cambios en su acuerdo tipo sobre tratamiento de datos. Ambos cambios afectan a la misma disposición y se refieren a la obligación de incluir al responsable del tratamiento como tercero beneficiario en caso de quiebra del encargado del tratamiento. Los cambios consisten en:
- Ahora se ha hecho hincapié en que la disposición es facultativa para el responsable y el encargado del tratamiento a la hora de incluirla en el acuerdo de tratamiento de datos.
- La redacción de la disposición se ha alineado con la redacción de la disposición correspondiente en las cláusulas contractuales tipo de la Comisión Europea para los acuerdos de tratamiento de datos de 4 de junio de 2021.
Antecedentes de los cambios
La Agencia Danesa de Protección de Datos ha recibido varias consultas sobre el significado de la disposición en cuestión. Entre otras cosas, se ha subrayado que la disposición es difícil de aplicar en la práctica y que puede no tener el efecto previsto.
La disposición no es un requisito directo en virtud del RGPD, sino un intento de la Agencia Danesa de Protección de Datos de garantizar que el responsable del tratamiento pueda seguir cumpliendo sus obligaciones como responsable del tratamiento en caso de quiebra del encargado del tratamiento.
Dado que la disposición no es un requisito directo que se derive de las normas de protección de datos, la Agencia Danesa de Protección de Datos ha decidido hacer hincapié en que la disposición es opcional.
Sin embargo, la Agencia Danesa de Protección de Datos sigue señalando que, aunque ahora sea opcional incluir esta disposición en las cláusulas principales del acuerdo de tratamiento de datos, el responsable del tratamiento sigue siendo responsable de garantizar la protección adecuada de los datos personales (supresión o devolución) en los casos en que el encargado del tratamiento haya cesado o quebrado.
Los cambios se han presentado a la AEPD
Los cambios de la Agencia Danesa de Protección de Datos se han presentado al Consejo Europeo de Protección de Datos (CEPD), que no ha puesto objeciones a los mismos. Por lo tanto, la disposición -y los cambios añadidos- siguen teniendo el carácter de cláusulas contractuales tipo con arreglo al artículo 28, apartado 8, del Reglamento general de protección de datos.
Los cambios descritos anteriormente se han aplicado tanto en la versión danesa como en la inglesa del acuerdo estándar de tratamiento de datos de la Agencia Danesa de Protección de Datos, que puede consultarse aquí.