GDPR 8. El Encargado del tratamiento


Josep Aragonés Salvat     02/09/2016

¿Qué obligaciones tiene el Encargado del tratamiento?


El Reglamento define al Encargado del tratamiento como persona física o jurídica, autoridad pública, servicio u organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del Responsable del tratamiento.

Igual que el Responsable, el Encargado del tratamiento también tiene el deber de proteger los datos personales en cualquier fase del tratamiento, desde el diseño del tratamiento y por defecto durante todo el ciclo de vida del mismo: recogida, tratamiento, conservación y supresión. También deberá garantizar un nivel de seguridad adecuado en relación con los riesgos que entrañe el tratamiento.

Podrán ser Encargados del tratamiento Asesorías laborales, fiscales o contables, Prevención de riesgos laborales, Mantenimiento de equipos y aplicaciones informáticas, Copias de seguridad externas, Seguridad o videovigilancia, Destrucción de documentos, Servicios jurídicos, o cualquier empresa de servicios que, para realizarlos, requiera el acceso a datos personales del Responsable.

El Encargado del tratamiento deberá ofrecer garantías suficientes para implementar en su organización políticas técnico-organizativas apropiadas para proteger los datos personales, el ejercicio de los derechos del interesado y la aplicación de las instrucciones que determine el Responsable del tratamiento.

Las garantías suficientes que deberá fundamentar el Encargado del tratamiento podrán demostrarse mediante los mecanismos de certificación previstos en el Reglamento, o en caso de grupos de empresas, con la adhesión y cumplimiento de códigos de conducta aprobados por la Autoridad de control o la Comisión Europea según su ámbito territorial.

El Encargado del tratamiento será considerado Responsable del tratamiento y estará sujeto a las normas aplicables como tal, cuando sea parte determinante de los fines y los medios del tratamiento o realice el tratamiento sin seguir las instrucciones recibidas por el Responsable del tratamiento.

La Autoridad de control podrá adoptar cláusulas contractuales tipo para la formalización de contratos que rijan la relación entre el Responsable y el Encargado del tratamiento.
 

El contrato de Encargado del tratamiento


La relación entre el Responsable y el Encargado del tratamiento se regirá por un contrato, preferiblemente en formato electrónico, donde se especificarán sus respectivas funciones y se disponga:
 

  • El objeto, duración, naturaleza y finalidad del tratamiento.
  • El tipo de datos personales y categorías de interesados.
  • Las obligaciones y derechos del Responsable del tratamiento.
  • Que se realizará el tratamiento siguiendo las instrucciones documentadas del Responsable del tratamiento, incluyendo las transferencias de datos a terceros países u organizaciones internacionales.
  • Que el personal autorizado para realizar el tratamiento se haya comprometido a respetar la confidencialidad o tengan la obligación legal de confidencialidad.
  • Que se implementarán las medidas de seguridad que establece el Reglamento y cooperará con el Responsable del tratamiento para garantizar su cumplimiento.
  • Que no se podrá subcontratar el servicio a otro Encargado del tratamiento sin la autorización previa y por escrito del Responsable del tratamiento.
  • Que se crearán las condiciones técnicas y organizativas necesarias para permitir al Responsable del tratamiento dar curso a las solicitudes de los derechos de los interesados.
  • Que al término del contrato suprimirá o devolverá, a elección del Responsable del tratamiento, los datos tratados y eliminará las copias existentes, excepto si lo prohíbe la legislación vigente.
  • Que pondrá a disposición del Responsable del tratamiento la información necesaria para demostrar el cumplimiento del contrato, permitiendo inspecciones o auditorías.
  • Que el Encargado del tratamiento será considerado Responsable del tratamiento, y estará sujeto a las normas aplicables como tal, cuando determine por su cuenta los fines y los medios del tratamiento.
 

Subcontratación del servicio a otro Encargado de tratamiento


El Encargado del tratamiento no podrá subcontratar el servicio a otro Encargado sin la autorización previa y por escrito del Responsable del tratamiento.

La autorización para subcontratar podrá ser:
 
  • Específica: para subcontratar un Encargado del tratamiento.
  • General: para subcontratar varios Encargados del tratamiento. Cuando existan cambios de Encargados, se deberá informar previamente al Responsable y éste podrá oponerse a ellos.

Cualquier subcontratación autorizada por el Responsable se regirá por un contrato entre los dos Encargados que disponga las mismas obligaciones adquiridas con el Responsable.

El Encargado del tratamiento será responsable subsidiario ante el Responsable del incumplimiento de las obligaciones del Encargado subcontratado.

 

Registro de las actividades del tratamiento


Los Encargados del tratamiento, o sus Representantes, deberán llevar y conservar actualizado un Registro de actividades del tratamiento, en formato electrónico, efectuadas en nombre de cada Responsable, que contenga:
 
  • Nombre y datos contacto de todos los implicados en el tratamiento: Encargados, Responsables, y si es el caso, Coencargados, Corresponsables, Destinatarios, Representantes y DPOs.
  • Categorías de datos y de tratamiento efectuados en nombre de cada Responsable.
  • Transferencias de datos a terceros países, con la identificación de los mismos y documentación de las garantías apropiadas.
  • Y cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.


A solicitud de la Autoridad de control, los Encargados del tratamiento, o sus Representantes deberán poner a su disposición el Registro de actividades del tratamiento y cooperar en el desempeño de sus funciones.

 

Responsabilidades en caso de sanción o indemnización


Las sanciones por incumplimiento del Reglamento se aplicarán a cada Responsable, Corresponsable o Encargado, según la infracción cometida por cada uno.

Las indemnizaciones a un interesado que haya sufrido perjuicio material o inmaterial como consecuencia de una vulneración del Reglamento se aplicarán en su totalidad a cada uno los participantes del tratamiento, sean Responsable, Corresponsable o Encargado.

El Responsable o Encargado que haya pagado una compensación total podrá reclamar a los demás participantes la parte que les corresponda.

Los Responsables o Encargados estarán exentos de responsabilidades si consiguen probar que no son responsables del hecho que ha provocado el perjuicio.
 
 

Seguimiento del curso Experto en el GDPR


Tema anterior: 7. Empresas externas con acceso a datos     Tema siguiente: 9. El Corresponsable del tratamiento



Información relacionada