Contacto
Si encomiendas a una tercera persona (una persona física o jurídica que no forma parte de tu organización) un proyecto o servicio que implica tratar datos personales, deberás realizar un encargo del tratamiento para regular los compromisos entre tú, como responsable del tratamiento, y la persona, empresa u organización que actúe como encargada del tratamiento.
Por tanto, la relación entre el responsable y el encargado del tratamiento debe estar regulada por un contrato o por otro acto jurídico conforme al derecho de la UE o de los Estados miembros. En todo caso, debe vincular al encargado respecto del responsable y debe establecer, como mínimo:
- El objeto.
- La duración.
- La naturaleza.
- La finalidad del tratamiento.
- El tipo de datos personales.
- Las categorías de personas interesadas.
- Las obligaciones y derechos del responsable.
Los responsables solo deben elegir encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de forma que el tratamiento sea conforme a los requisitos del RGPD. Esta previsión se extiende también a los encargados cuando subcontratan operaciones de tratamiento.
De acuerdo con el principio de responsabilidad proactiva, el responsable debe adoptar las medidas apropiadas, incluida la elección de encargados, de forma que garantice y esté en condiciones de demostrar que el tratamiento se lleva a cabo conforme al RGPD.
Cuando se aplica la Ley 9/2017, de 8 de noviembre, de contratos del sector público (LCSP), debe tenerse en cuenta que, si la contratación implica el acceso del contratista a datos personales de los que es responsable la entidad contratante, el contratista tendrá la consideración de encargado del tratamiento. En estos casos, el régimen establecido en el RGPD también se aplica. Asimismo, es preciso tener presente lo que se establece en el artículo 122 en relación con el contenido de los pliegos de cláusulas administrativas particulares.
Hay que tener presente que los contratos y acuerdos de encargo del tratamiento establecidos antes del 25 de mayo de 2018 mantienen su vigencia hasta la fecha de vencimiento señalada en los mismos. En cualquier caso, durante la vigencia del contrato o acuerdo, cualquiera de las partes puede exigir a la otra la modificación del contrato para adaptarla a lo que establece el RGPD.
Obligaciones del encargado
Si eres el encargado del tratamiento, tienes obligaciones de colaborar con el responsable para apoyarle a la hora de cumplir con sus obligaciones, siempre dentro del marco de los servicios que tienes encargados. Así, debes velar porque los datos personales se traten correctamente y, si consideras que una instrucción infringe la normativa de protección de datos, debes informar de ello inmediatamente al responsable.
Concretamente, debes:
- Implantar medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y las finalidades del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y las libertades de las personas físicas.
- Llevar un registro de todas las categorías de actividades de tratamiento efectuadas.
- Nombrar a un delegado de protección de datos cuando la norma lo establece.
- Notificar las violaciones de seguridad al responsable del tratamiento.