Tras la entrada en vigor en 2018 de la nueva normativa comunitaria en materia de protección de datos mediante el Reglamento General de Protección de Datos (RGPD), así como de las normas estatales que desarrollaron dicha normativa (en nuestro caso, la Ley Orgánica de Protección de Datos y garantía de los derechos digitales, o LOPDGDD), se inició un tiempo de transición para su adaptación a la realidad social.
Entre otras cuestiones, este tiempo de transición implicó la concesión de un plazo a los obligados por la nueva normativa para que fueran adaptando su funcionamiento a las obligaciones que esta conlleva. Es el caso de la obligación de firmar acuerdos con los encargados del tratamiento, en virtud del artículo 28 RGPD. Esto es, los acuerdos con los terceros que, para la prestación de un determinado servicio, van a tener acceso a los datos personales por cuenta de un responsable del tratamiento.
La LOPDGG, en su Disposición transitoria quinta establece que “Los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022”.
En otras palabras, los contratos de encargado celebrados bajo la anterior normativa dejarán de tener efecto el 25 de mayo de 2022, y deberán, en consecuencia, ser adaptados al RGPD.