Contacte
L’encarregat del tractament no és una figura nova en la regulació de protecció de dades, sinó que ja està recollida en l’actual LOPD i àmpliament desenvolupada a l’RLOPD. A la pràctica, aquesta figura s’aplica de manera molt habitual, ja que permet regular la relació amb els tercers que presten serveis per compte d’un altre i que, per fer-ho, han de tenir accés a dades personals.
L’RGPD defineix l’encarregat com la persona física o jurídica, autoritat pública, servei o qualsevol altre organisme que tracta dades personals per compte del responsable del tractament.
Els tipus d'encarregat del tractament són molt variats i depenen del tipus de servei que presten.
L’RGPD reforça la posició de l’encarregat respecte de la garantia de la protecció de les dades personals. Regula noves obligacions de col·laboració amb el responsable per donar-li suport a l’hora de complir les seves obligacions, sempre dins del marc dels serveis que té encarregats. Estableix també que té l’obligació de vetllar perquè les dades personals es tractin correctament, ja que disposa que si l‘encarregat considera que una instrucció infringeix la normativa de protecció de dades, n’ha d’informar immediatament el responsable.
A més, l’RGPD regula una sèrie d’obligacions que l’encarregat ha de complir. En concret:
- Implantar mesures de tècniques i organitzatives adequades per garantir un nivell de seguretat adequat al risc del tractament, tenint en compte l'estat de la tècnica, els costos d'aplicació i la naturalesa, l'abast, el context i les finalitats del tractament, així com els riscos de probabilitat i gravetat variables per als drets i les llibertats de les persones físiques (article 32.1. RGPD).
- Portar un registre de totes les categories d'activitats de tractament efectuades.
- Nomenar un delegat de protecció de dades en els casos indicats a l’article 37.1 de l’RGPD
- Notificar les violacions de seguretat al responsable del tractament.
L’RGPD també reforça la responsabilitat del responsable, ja que ha d’escollir un encarregat que ofereixi garanties suficients per aplicar les mesures tècniques i organitzatives adequades, de manera que el tractament sigui conforme als requisits del Reglament i garanteixi la protecció dels drets de l'interessat.
La relació entre el responsable i l’encarregat del tractament ha d’estar regulat per un contracte o per un altre acte jurídic conforme al dret de la Unió o dels estats membres. En tot cas, el contracte o acte jurídic ha de vincular l'encarregat respecte del responsable i ha d’establir, com a mínim: l'objecte, la durada, la naturalesa i la finalitat del tractament, el tipus de dades personals, les categories d'interessats i les obligacions i els drets del responsable.
L’APDCAT ha vingut recomanant que les entitats que tenen establerts contractes d’encàrrec del tractament que previsiblement haguessin de desplegar els seus efectes més enllà del 25 de maig de 2018, els adaptin als requeriments del nou Reglament.
No obstant això, d’acord amb la Disposició transitòria segona del Reial Decret llei 5/2018, de 27 de juliol, de mesures urgents per l’adaptació del dret espanyol a la normativa de la Unió Europea en matèria de protecció de dades, els contractes i acords d’encàrrec del tractament establerts abans de 25 de maig de 2018 mantenen la seva vigència fins la data de venciment assenyalada en els mateixos.
Quan es tracti d’encàrrecs amb durada indefinida, mantenen la vigència fins al cap de quatre anys, a comptar des del 25 de maig de 2018.
En qualsevol cas, durant la vigència del contracte o acord, qualsevol de les parts pot exigir a l’altra la modificació del contracte per adaptar-la al que estableix l’article 28 de l’RGPD.
El contingut mínim d’aquest contracte s’estableix a l’article 28.3 de l’RGPD.
Sobre aquesta qüestió, podeu consultar la Guia d’encarregat del tractament i també les clàusules contractuals tipus aprovades per la Comissió Europea mitjançant la Decisió d’execució (UE) 2021/915, de 4 de juny de 2021