Hay que especificar los plazos de conservación en el contrato de encargado
Es habitual que en los contratos de encargado simplemente se incluyan las menciones que establece el artículo 28 del RGPD, sin apenas detallar nada más. Así, suele recogerse que el encargado deberá destruir o devolver los datos personales una vez que finalice el encargo. Sin embargo, el principio de limitación del plazo de conservación exige que los datos no se conserven más tiempo del necesario para los fines del tratamiento.
¿Significa esto que el responsable del tratamiento debe suprimir los datos una vez terminada la finalidad, pero que el encargado puede conservarlos mientras dure la prestación del servicio? La respuesta es que no. El encargado también debe respetar el principio de limitación del plazo de conservación, porque no es una obligación reservada al responsable, sino una regla que debe cumplir cualquiera que trate datos personales.
Entonces, si un encargado no aplicara esos plazos de conservación, ¿tendría alguna responsabilidad el responsable? La respuesta es que depende, en buena medida, de si ha dado instrucciones claras, concretas y suficientes. Y aquí está la clave: debe ser el responsable quien dé esas instrucciones al encargado a través del contrato, estableciendo el período de conservación o, al menos, los criterios que permitan determinarlo durante la propia ejecución del servicio.
No basta, por tanto, con incluir la cláusula habitual según la cual, al finalizar la prestación, el encargado suprimirá o devolverá los datos. Esa previsión solo opera cuando termina la relación contractual, pero no resuelve qué ocurre mientras el contrato está vigente, que es precisamente cuando el encargado está tratando los datos y puede estar conservándolos más tiempo del debido. Si el responsable no da esas instrucciones y el encargado conserva datos innecesariamente, el problema no se agota en la actuación del encargado. También puede existir un incumplimiento del responsable por no haber definido correctamente las condiciones del tratamiento por cuenta de tercero. Al fin y al cabo, el contenido del contrato previsto en el artículo 28 del RGPD no es una exigencia meramente formal, sino también material.
Esto se ve con más claridad cuando se produce una brecha de seguridad. Si el encargado sufriese una incidencia respecto de datos que ya no necesitaba conservar, y el responsable no hubiera fijado previamente los plazos o criterios de conservación, podría apreciarse responsabilidad también por parte de este último. Como viene señalando la AEPD, el contrato de encargado no puede limitarse a reproducir de forma genérica el contenido legal, porque así no se cumple realmente con lo que exige el RGPD.
En definitiva, la cláusula que suele incluirse en muchos contratos, según la cual “a elección del responsable, el encargado suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios”, no evita por sí sola un posible incumplimiento del artículo 28 del RGPD. Esa previsión actúa al final del contrato, pero no soluciona lo esencial: concretar cuánto tiempo puede conservar los datos el encargado mientras los está tratando. Y ahí es donde todavía fallan muchos contratos.