Modelo de acuerdo de confidencialidad celebrado entre cliente y un proveedor en el tratamiento de datos personales

Como siempre en estos casos, conviene explicar la posición de ambas partes en este acuerdo de confidencialidad para el tratamiento de datos personales.

• Por un lado, tenemos al «cliente», empresa que por el ejercicio de su actividad, genera información de índole personal de la que es responsable.
• Por otro, tenemos al proveedor, que en este caso, tendrá acceso a la información generada por el cliente y respecto a la que se compromete a mantener un deber de secreto y confidencialidad (punto IV), secreto que será extensible a todos el personal que, directa o indirectamente, tenga contrato con la empresa (empleados, personal, becarios o subcontratados).

El punto VII resulta interesante ya que exceptúa este debe de confidencialidad/secreto en diferentes supuestos, tales como:

• Que la información sea de acceso público en el momento de su cesión al proveedor.
• Que la información cedida sea conocida por el proveedor y sobre esta no exista un deber de confidencialidad/secreto.
• Que por imperativo legal (legislación o resolución judicial), el proveedor deba difundir la información avisando, eso sí, al cliente de forma previa.

A partir de aquí, podemos indicar los artículos del reglamento de protección de datos (RGPD) que serán de aplicación según las cláusulas establecidas en el propio acuerdo.

Primero, y más importante, el deber de confidencialidad/secreto profesional. Hay varios artículos que hacen mención a esta característica inherente al tratamiento de datos, pero nos interesan 3:

• El 5.1 f, sobre principios relativos al tratamiento donde se exige la aplicación de «medidas técnicas» que aseguren la «integridad y confidencialidad».
• El 28.3 b, sobre la figura del encargado de tratamiento, siendo una de sus funciones «garantizar que las personas autorizadas (...) se hayan comprometido a respetar la confidencialidad (...)».
• Por último, el más paradigmático, es el artículo 90 cuyo título, «obligaciones de secreto», extiende este deber a los encargados y responsables de tratamiento.

También la propia definición de lo que, según el acuerdo, se considera «información confidencial», que se corresponde con el deber de identificar los datos objeto de tratamiento (artículos 14 y 15 del reglamento).

La duración del tratamiento también se recoge en el artículo 28.3, donde se establece que la duración será la establecida por el «contrato o acto jurídico»; del mismo modo, el imperativo legal que puede extender este periodo de duración se puede encontrar en el artículo 6.1 c.