Contacte
Si encomanes a una tercera persona (una persona física o jurídica que no forma part de la teva organització) un projecte o un servei que implica tractar dades personals, caldrà que facis un encàrrec del tractament per regular els compromisos entre tu, com a responsable del tractament, i la persona, l’empresa o organització que actuï com a encarregada del tractament.
Per tant, la relació entre el responsable i l’encarregat del tractament ha d’estar regulada per un contracte o per un altre acte jurídic conforme al dret de la UE o dels estats membres. En tot cas, ha de vincular l’encarregat respecte del responsable i ha d’establir, com a mínim:
- L’objecte.
- La durada.
- La naturalesa.
- La finalitat del tractament.
- El tipus de dades personals.
- Les categories de persones interessades.
- Les obligacions i els drets del responsable.
Els responsables només han de triar encarregats que ofereixin garanties suficients per aplicar mesures tècniques i organitzatives apropiades, de manera que el tractament sigui conforme als requisits de l’RGPD. Aquesta previsió també s’estén als encarregats quan subcontracten operacions de tractament.
D’acord amb el principi de responsabilitat proactiva, el responsable ha d’adoptar les mesures apropiades, inclosa l’elecció d’encarregats, de manera que garanteixi i estigui en condicions de demostrar que el tractament es duu a terme conforme a l’RGPD.
Quan s’aplica la Llei 9/2017, de 8 de novembre, de contractes del sector públic (LCSP), cal tenir en compte que si la contractació implica l’accés del contractista a dades personals de les quals n’és responsable l’entitat contractant, el contractista té la consideració d’encarregat del tractament. En aquests casos, el règim establert en l’RGPD també s’aplica. Així mateix, cal tenir present el que s’estableix a l’article 122, en relació amb el contingut dels plecs de clàusules administratives particulars.
Cal tenir present que els contractes i acords d’encàrrec del tractament establerts abans de 25 de maig de 2018 mantenen la seva vigència fins a la data de venciment assenyalada en aquests. En qualsevol cas, durant la vigència del contracte o acord, qualsevol de les parts pot exigir a l’altra la modificació del contracte per adaptar-la al que estableix l’RGPD.
Obligacions de l’encarregat
Si ets l’encarregat del tractament, tens obligacions de col·laborar amb el responsable per donar-li suport a l’hora de complir les seves obligacions, sempre dins del marc dels serveis que tens encarregats. Així, has de vetllar perquè les dades personals es tractin correctament, i si consideres que una instrucció infringeix la normativa de protecció de dades, n’has d’informar immediatament el responsable.
Concretament, has de:
- Implantar mesures tècniques i organitzatives adequades per garantir un nivell de seguretat adequat al risc del tractament, tenint en compte l’estat de la tècnica, els costos d’aplicació i la naturalesa, l’abast, el context i les finalitats del tractament, així com els riscos de probabilitat i gravetat variables per als drets i les llibertats de les persones físiques.
- Portar un registre de totes les categories d’activitats de tractament efectuades.
- Nomenar un delegat de protecció de dades quan la norma ho estableix.
- Notificar les violacions de seguretat al responsable del tractament.