CMS Albiñana & Suárez de Lezo
El apartado 3 del artículo 28 del Reglamento General de Protección de Datos (RGPD) establece que la relación entre el responsable y el encargado del tratamiento debe regirse por un “contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros”. Cabría plantear si el cumplimiento de este requisito puede cumplirse a través de un contrato electrónico.
El apartado 3 del artículo 28 del Reglamento General de Protección de Datos (RGPD) establece que la relación entre el responsable y el encargado del tratamiento debe regirse por un “contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros”. Cabría plantear si el cumplimiento de este requisito puede cumplirse a través de un contrato electrónico.
Es una cuestión que requiere prestar atención, en primer lugar, a lo dispuesto en el propio RGPD. Además del RGPD, será necesario considerar también otras normas del Derecho de la Unión Europea, siendo estas en particular las relativas a comercio electrónico y firma electrónica. En segundo lugar, la respuesta debe completarse con lo dispuesto en nuestro ordenamiento jurídico, en particular por lo que se refiere a la validez del contrato electrónico y el uso de la firma electrónica.
El propio RGPD indica, en el apartado 9 del artículo 28, que este contrato u otro acto jurídico “constará por escrito, inclusive en formato electrónico”, admitiéndose así el contrato electrónico para regular el tratamiento de datos personales por el encargado del tratamiento cuando lo hace por cuenta del responsable del tratamiento.
Se trata de una cuestión relevante que fue objeto ya en 2018 de una pregunta con solicitud de respuesta escrita en el Parlamento Europeo, dirigida a la Comisión Europea, y que a la vista del artículo mencionado en el párrafo anterior era ¿qué se entiende exactamente por la forma electrónica de un contrato o instrumento jurídico? (traducción de “What exactly is meant by the electronic form of a contract or other legal act?”). En respuesta a dicha pregunta, la Comisión Europea señaló, en lo esencial, que las normas para la celebración de contratos u otros actos jurídicos, incluso en forma electrónica, no se establecen en el RGPD, sino en otra legislación de la UE y/o nacional (traducción de “the rules for entering into contracts or other legal acts, including in electronic form, are not set forth in the GDPR but in other EU and/or national legislation”).
En cuanto a otra legislación de la Unión Europea (UE), la respuesta dada por la Comisión Europea cita la Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico). En particular, la Comisión Europea señala que deben suprimirse los obstáculos al uso de contratos electrónicos. Y en este sentido, el considerando 34 de esta Directiva explica que “[t]odo Estado miembro debe ajustar su legislación en cuanto a los requisitos –y, especialmente, los requisitos formales– que puedan entorpecer la celebración de contratos por vía electrónica.” Y, por lo que se refiere al uso de la firma electrónica, cabe recordar que a nivel de la Unión Europea está regulada en el Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.
Si prestamos atención a nuestro ordenamiento jurídico, es necesario partir de que no es una cuestión nueva, ya que la normativa derogada (aunque no en su totalidad) en materia de protección de datos incluía una previsión al respecto. En concreto, el apartado 2 del artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, indicaba que el acceso a los datos por el encargado del tratamiento estuviera regulado en un contrato que debería “constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido”. Esta referencia “en alguna otra forma”, daba cabida a que pudiera ser un contrato electrónico.
Además, la respuesta a esta cuestión en nuestro ordenamiento jurídico implica la necesidad de considerar el Título IV de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, que regula la contratación por vía electrónica. En particular el apartado 3 del artículo 23 indica que el requisito de que un contrato conste por escrito “se entenderá satisfecho si el contrato o la información se contiene en un soporte electrónico”. Y, por lo que se refiere a la firma electrónica, la Ley 59/2003, de 19 de diciembre, de firma electrónica indica que los documentos electrónicos serán soporte de documentos públicos y privados y tendrán el valor y la eficacia jurídica que corresponda a su respectiva naturaleza, de conformidad con la legislación que les resulte aplicable.
Por tanto, con carácter general, cabe concluir que un contrato u otro acto jurídico entre un responsable y un encargado del tratamiento que regule el tratamiento de los datos personales por este último puede celebrarse por medios electrónicos. Y, en cualquier caso, dicho contrato u otro instrumento jurídico tendrá que incluir todos los requisitos necesarios relativos al tratamiento de datos por el encargado del tratamiento.
Miguel Recio
.