El Encargado del Tratamiento en el Reglamento General de Protección de Datos (RGPD)

El Encargado del Tratamiento en el Reglamento General de Protección de Datos (RGPD)

man looking on city through the window

Dando continuidad a las publicaciones realizadas semanas atrás en nuestro blog, en las que se analizaba de manera detallada tanto la “Guía del Reglamento para responsables de tratamiento” como la Guía para el cumplimiento del deber de informar”, ofrecidas por las agencias de protección de datos españolas (AEPD, APDCAT y AVPD). A continuación, tenemos la intención de transmitir de manera sencilla las principales consideraciones trasladadas por dichas agencias de protección de datos en su documento “Directrices para la elaboración de contratos entre responsables y encargados de tratamiento”.

En este sentido, el presente análisis se centra en identificar los puntos claves a considerar en el momento de establecer la relación entre el responsable del tratamiento y el encargado del tratamiento, tras la entrada en vigor del Reglamento General de Protección de Datos (RGPD) en fecha de 25 de mayo de 2016.

Antes de profundizar en el contenido del documento, es importante definir qué es un encargado de tratamiento y cuál es su función principal.

Así, podemos definir la figura del encargado del tratamiento como aquella persona física o jurídica, autoridad pública, servicio u otro organismo que presta un servicio al responsable del fichero que conlleva el tratamiento de datos personales por cuenta de éste.

Como vemos, la definición de la figura del encargado de tratamiento es muy amplia, incluyendo, entre otros, a empresas de marketing, gestorías contables, empresas de hosting, empresas de servicios informáticos, delegado de protección de datos externo y, de manera general, a cualquier persona física o jurídica que preste algún tipo de servicio que conlleve el tratamiento de datos de carácter personal por cuenta del responsable del fichero.

Una vez que conocemos en qué consiste la figura del encargado de tratamiento, llega el momento de hablar sobre las obligaciones y consideraciones a tener en cuenta con motivo de la prestación de servicios con acceso a datos.

De acuerdo con lo dicho, las directrices definidas por las agencias de protección de datos, añaden requisitos adicionales a los existentes hasta la fecha por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y su Reglamento de desarrollo, el Real Decreto 1720/2007 (RLOPD), en cuanto a las obligaciones y responsabilidades tanto para el responsable del tratamiento como para el encargado del tratamiento.

Así, el RGPD afirma que el responsable del tratamiento deberá elegir un encargado del tratamiento que ofrezca garantías suficientes respecto a la implantación y el mantenimiento de las medidas técnicas y organizativas, así como de verificar que se cumplen las medidas de cara a garantizar la protección de los derechos de las personas afectadas.

El RLOPD en su artículo 20.2 dispone la necesidad, por parte del responsable del tratamiento, de velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en dicho Reglamento, en este sentido el RGPD va más allá, pues además de obligar al responsable del tratamiento a elegir un encargado de tratamiento con garantías suficientes de cumplimiento, incluye la necesidad de supervisar de manera periódica, por ejemplo mediante auditorias, que el encargado del tratamiento tiene implementadas las medidas de seguridad adecuadas sobre los datos de carácter personal.

Asimismo, el RGPD como prueba de la obtención de garantías suficientes en la elección del encargado del tratamiento por parte del responsable, ofrece al encargado del tratamiento la posibilidad de adherirse a códigos de conducta o acreditar posesión de un certificado en materia de protección de datos, de cara a poder garantizar y evidenciar, de manera fehaciente, la implementación de las medidas de seguridad técnicas y organizativas sobre los datos personales.

Por otro lado, en lo referido a la relación entre el responsable y el encargado del tratamiento, ésta deberá establecerse a través de un contrato o de un acto jurídico similar que los vincule. El contrato o acto jurídico deberá constar por escrito, inclusive en formato electrónico. En el mismo debe establecerse el objeto, duración, la naturaleza y finalidad del tratamiento, el tipo de datos personales y categorías de interesados, así como las obligaciones y derechos del responsable, todo ello habida cuenta de las funciones y responsabilidades específicas del encargado en el contexto del tratamiento que se lleve a cabo.

En particular, el acuerdo o acto que se suscriba entre el responsable y el encargado del tratamiento deberá contener como mínimo las siguientes obligaciones y responsabilidades:

  • Que el encargado realizará el tratamiento siguiendo las instrucciones documentadas del responsable, inclusive en relación a las transferencias de datos personales a un tercer país o una organización internacional.
  • Garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria.
  • Que tomará las medidas de seguridad necesarias, conforme a lo dispuesto en el RGPD. En relación con este punto, es preciso señalar que el encargado del tratamiento deberá aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo que en su caso incluya.
  • El encargado respetará las condiciones indicadas en el RGPD para subcontratar con otro encargado de tratamiento.
  • Tendrá que asistir al responsable para que éste pueda dar cumplimiento a su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados. Asimismo, ayudará al responsable a garantizar el cumplimiento de las obligaciones previstas en el RGPD, esto es, respecto de la seguridad de los datos y la evaluación de impacto sobre la protección de datos.
  • El encargado deberá facilitar al responsable, la información necesaria para demostrar el cumplimiento de todas las obligaciones hasta ahora expuestas, y así permitir y contribuir a la realización de auditorías, incluidas las inspecciones. De igual manera, éste informará de manera inmediata al responsable si, en su opinión, una instrucción infringe el Reglamento u otras disposiciones en materia de protección de datos de la Unión o de los estados miembros.
  • Finalizado el tratamiento, el encargado debe, a elección de aquel, devolver o suprimir los datos personales, salvo que se requiera la conservación de dichos datos en virtud de la normativa vigente.

Asimismo, en los casos en que un encargado quiera recurrir a otro para llevar a cabo determinadas actividades de tratamiento por cuenta del responsable, será necesaria la autorización previa por escrito, especifica o general del responsable. Del mismo modo, el encargado se impondrá a este otro mediante un contrato u otro acto jurídico establecido con arreglo al Derecho de la Unión o de los Estados miembros.

Para finalizar, cabe mencionar que la AEPD ha manifestado que resulta apropiado que las empresas comiencen a actualizar sus modelos de contratos independientemente de que la fecha de finalización de los mismos sea anterior a la fecha de aplicación del RGPD, siendo ésta el 25 de mayo de 2018.

 

Carlos González

carlos.gonzalez@ecixgroup.com

Share post:

Leave A Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *