Contacto
El encargado del tratamiento no es una figura nueva en la regulación de protección de datos, sino que ya está recogida en la actual LOPD y ampliamente desarrollada en el RLOPD. En la práctica, esta figura se aplica de manera muy habitual, ya que permite regular la relación con los terceros que prestan servicios por cuenta de otro y que, para hacerlo, tienen que tener acceso a datos personales.
El RGPD define al encargado como la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que trata datos personales por cuenta del responsable del tratamiento.
Los tipos de encargado del tratamiento son muy variados y dependen del tipo de servicio que prestan.
El RGPD refuerza la posición del encargado respecto a la garantía de la protección de los datos personales. Regula nuevas obligaciones de colaboración con el responsable para darle apoyo a la hora de cumplir sus obligaciones, siempre dentro del marco de los servicios que tiene encargados. Establece también que tiene la obligación de velar para que los datos personales se traten correctamente, ya que dispone que, si el encargado considera que una instrucción infringe la normativa de protección de datos, debe informar inmediatamente al responsable.
Además, el RGPD regula una serie de obligaciones que el encargado debe cumplir. En concreto:
- Implantar medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y las finalidades del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y las libertades de las personas físicas (artículo 32.1. RGPD).
- Llevar un registro de todas las categorías de actividades de tratamiento efectuadas.
- Nombrar a un delegado de protección de datos en los casos indicados en el artículo 37.1 del RGPD
- Notificar las violaciones de seguridad al responsable del tratamiento.
El RGPD también refuerza la responsabilidad del responsable, ya que tiene que escoger a un encargado que ofrezca garantías suficientes para aplicar las medidas técnicas y organizativas adecuadas, de manera que el tratamiento sea conforme a los requisitos del Reglamento y garantice la protección de los derechos del interesado.
La relación entre el responsable y el encargado del tratamiento debe estar regulada por un contrato o por otro acto jurídico conforme al derecho de la Unión o de los estados miembros. En todo caso, el contrato o acto jurídico debe vincular al encargado con el responsable y debe establecer, como mínimo: el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales, las categorías de interesados y las obligaciones y los derechos del responsable.
El contenido mínimo de este contrato se establece en el artículo 28.3 del RGPD.
Sobre esta cuestión podéis consultar la Guía de encargado del tratamiento y también les cláusulas contractuales tipo aprobadas por la Comisión Europea miediante la Decisión de ejecución (UE) 2021/915, de 4 de junio de 2021