IV. TERCEROS INTERVINIENTES Y LOS CÓDIGOS DE CONDUCTA Y CERTIFICACIÓN

2.  EL ENCARGADO DE TRATAMIENTO

La figura del encargado de tratamiento viene recogida en el art. 4.8, 28 y 29 y considerando 81 del RGPD.

Artículo 4: Definiciones

  1. «encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento;

Artículo 28: encargado del tratamiento

  1. Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.
  2. El encargado del tratamiento no recurrirá a otro encargado sin la autorización previa por escrito, específica o general, del responsable. En este último caso, el encargado informará al responsable de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al responsable la oportunidad de oponerse a dichos cambios.
  3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:
    1. tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado; en tal caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público;
    2. garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria;
    3. tomará todas las medidas necesarias de conformidad con el artículo 32 (Cooperación con la autoridad de control);
    4. respetará las condiciones indicadas en los apartados 2 y 4 para recurrir a otro encargado del tratamiento;
    5. asistirá al responsable, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el capítulo III;
    6. ayudará al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 (Seguridad del tratamiento) a 36 (Consulta previa), teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado;
    7. a elección del responsable, suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros;
    8. pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.
    9. En relación con lo dispuesto en la letra h) del párrafo primero, el encargado informará inmediatamente al responsable si, en su opinión, una instrucción infringe el presente Reglamento u otras disposiciones en materia de protección de datos de la Unión o de los Estados miembros.
  4. Cuando un encargado del tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del responsable, se impondrán a este otro encargado, mediante contrato u otro acto jurídico establecido con arreglo al Derecho de la Unión o de los Estados miembros, las mismas obligaciones de protección de datos que las estipuladas en el contrato u otro acto jurídico entre el responsable y el encargado a que se refiere el apartado 3, en particular la prestación de garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conforme con las disposiciones del presente Reglamento. Si ese otro encargado incumple sus obligaciones de protección de datos, el encargado inicial seguirá siendo plenamente responsable ante el responsable del tratamiento por lo que respecta al cumplimiento de las obligaciones del otro encargado.
  5. La adhesión del encargado del tratamiento a un código de conducta aprobado a tenor del artículo 40 (Códigos de conducta) o a un mecanismo de certificación aprobado a tenor del artículo 42 (Certificación) podrá utilizarse como elemento para demostrar la existencia de las garantías suficientes a que se refieren los apartados 1 y 4 del presente artículo.
  6. Sin perjuicio de que el responsable y el encargado del tratamiento celebren un contrato individual, el contrato u otro acto jurídico a que se refieren los apartados 3 y 4 del presente artículo podrá basarse, total o parcialmente, en las cláusulas contractuales tipo a que se refieren los apartados 7 y 8 del presente artículo, inclusive cuando formen parte de una certificación concedida al responsable o encargado de conformidad con los artículos 42 (Certificación) y 43. (Organismo de certificación).
  7. La Comisión podrá fijar cláusulas contractuales tipo para los asuntos a que se refieren los apartados 3 y 4 del presente artículo, de acuerdo con el procedimiento de examen a que se refiere el artículo 93, (Procedimiento de comité) apartado 2.
  8. Una autoridad de control podrá adoptar cláusulas contractuales tipo para los asuntos a que se refieren los apartados 3 y 4 del presente artículo, de acuerdo con el mecanismo de coherencia a que se refiere el artículo 63 (Mecanismo de coherencia).
  9. El contrato u otro acto jurídico a que se refieren los apartados 3 y 4 constará por escrito, inclusive en formato electrónico.
  10. Sin perjuicio de lo dispuesto en los artículos 82, (Derecho a indemnización y responsabilidad) 83 (Condiciones generales para la imposición de multas administrativas) y 84, (Sanciones) si un encargado del tratamiento infringe el presente Reglamento al determinar los fines y medios del tratamiento, será considerado responsable del tratamiento con respecto a dicho tratamiento.

Artículo 29: Tratamiento bajo la autoridad del responsable o del encargado del tratamiento

El encargado del tratamiento y cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo podrán tratar dichos datos siguiendo instrucciones del responsable, a no ser que estén obligados a ello en virtud del Derecho de la Unión o de los Estados miembros.

 

Alcance

Tanto el considerando 81 como el propio art. 28.1 nos avanza que los encargados de tratamiento deben de ser cualificados y que por tanto el responsable está obligado a elegir exclusivamente a aquellos encargados de tratamiento que puedan garantizar el cumplimiento del RGPD respecto del tratamiento que lleven a cabo por cuenta del responsable.

Por tanto, todo encargado de tratamiento debe de reunir conocimientos especializados, fiabilidad y recursos, de cara a la aplicación de medidas técnicas y organizativas que cumplan los requisitos del RGPD, incluida la seguridad del tratamiento.

La adhesión del encargado a un código de conducta aprobado o a un mecanismo de certificación puede servir como elemento para demostrar el cumplimiento de las obligaciones por parte del responsable de elección de un encargado de tratamiento cualificado. En la práctica, esta medida va a suponer una verdadera carrera por la certificación o aprobación de códigos de conducta que permitan demostrar o cualificar a los encargados de tratamiento y por tanto garantizar el cumplimiento del RGPD. Se prevé, por tanto, que aquellos encargados de tratamiento que cumplan con las respectivas certificaciones o códigos de conducta tendrán menos barreras de entrada en la prestación de servicios a responsables de tratamiento, ya que con la obtención de dichas certificaciones estarán cumpliendo indirectamente con la obligación del responsable de contratar con un encargado de tratamiento cualificado.

Contenido

La prestación de los servicios con acceso a datos por parte de un encargado deberá regirse por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros que vincule al encargado con el responsable el cual deberá constar por escrito, inclusive en formato electrónico.

Si bien nuestra normativa ya preveía la redacción de este contrato entre responsable y encargado, el RGPD establece prácticamente las mismas obligaciones que nuestra normativa establecía en cuanto contenido que debía ser incluido en dichos contratos. El contrato de encargado de tratamiento por tanto deberá hacer mención expresa a los siguientes contenidos:

  1. Objeto
  2. Duración.
  3. Naturaleza y finalidad del tratamiento.
  4. Tipo de datos personales.
  5. Categorías de datos personales tratados.
  6. Interesados afectados.
  7. Obligaciones y derechos del responsable del tratamiento.
  8. Obligación del encargado de tratar los datos únicamente siguiendo instrucciones del responsable las cuales deberán estar documentadas.
  9. Establecer imponer el deber de confidencialidad de todas personas que accedan a los datos de carácter personal en la prestación de los servicios.
  10. Garantizar el cumplimiento de las medidas de seguridad conforme el art. 32 del RGP.
  11. En los supuestos de contratación de subencargados del tratamiento será necesaria la autorización del responsable que podrá ser:
    • Una autorización específica para la subcontratación identificando por tanto al subencargado.
    • Una autorización general, debiendo en este caso informar al responsable sobre la incorporación de encargados o sustitución de existentes con el objeto de que el mismo pueda oponerse a dichos cambios.
  12. Asistencia al responsable en ejercicio de derechos y en el cumplimiento de las obligaciones marcadas por los art. 33 a 36 del RGPD (Violación de Seguridad, Evaluaciones de impacto y Consulta Previa).
  13. Establecer a elección del responsable la devolución o destrucción datos, suprimiendo las copias existentes salvo que se requiera la conservación de datos en virtud del Derecho de la Unión o de los Estados miembros.
  14. Poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del art. 28, es decir las propias del encargado, así como permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable u otro auditor autorizado por dicho responsable.

Por último, se establece también la posibilidad por parte de la Comisión y las Autoridades de Control nacionales de desarrollar contratos modelo para regular y fijar este tipo de relaciones.

CONCLUSIONES:

  • El responsable está obligado a elegir exclusivamente a aquellos encargados de tratamiento que puedan garantizar el cumplimiento del RGPD.
  • En los supuestos de autorizaciones generales para la subcontratación el responsable se podrá oponer a la inclusión de nuevos subencargados.
  • El encargado está obligado a facilitar la información necesaria para garantizar el cumplimiento de sus obligaciones, incluidas las auditorías e inspecciones realizadas por el responsable o un tercero.

A partir del 01-01-2024 DATA PRIVACY OUTSOURCING & INFORMATION TECHNOLOGY LAW S.L. (DPO&IT LAW) se ha integrado en el despacho de abogados de Club Legal Asesores Internacionales, S.L. (CLUB LEGAL) con el propósito de fortalecer nuestras capacidades actuales y ofrecerles nuevos servicios relacionados con cualquiera de las áreas de práctica legal y jurídica que pueden ver en https://www.clublegal.es/

X