Últimamente estamos teniendo numerosas consultas acerca de las figuras del responsable y del encargado de tratamiento; es por ello vamos a intentar aclarar estos términos.
¿Qué son el responsable y el encargado del tratamiento?
Se define la figura de encargado del tratamiento como aquella persona física o jurídica, autoridad pública, servicio u otro organismo que presta un servicio al responsable que conlleva el tratamiento de datos personales por cuenta de éste.
La definición de la figura del encargado de tratamiento es muy amplia, incluyendo, entre otros, a empresas de marketing, gestorías contables, empresas de hosting, empresas de servicios informáticos, delegado de protección de datos externo.
Una vez que conocemos en qué consiste la figura del encargado de tratamiento, llega el momento de hablar sobre las obligaciones y consideraciones a tener en cuenta con motivo de la prestación de servicios con acceso a datos.
Sobre las Obligaciones
Le corresponde al responsable decidir sobre la finalidad y los usos de la información, mientras que el encargado de tratamiento debe cumplir con las instrucciones de quien le encomienda un determinado servicio, respecto al correcto tratamiento de los datos personales a los que pueda tener acceso como consecuencia de la prestación de este servicio.
El encargado puede realizar todos los tratamientos, que el responsable le haya encomendado: recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
[bctt tweet=»El encargado del tratamiento puede adoptar las decisiones organizativas y operacionales para la prestación del servicio que tenga contratado. No puede variar el fin ni uso de los datos, ni los puede usar para sus propias finalidades.» username=»GrupoDatcon»]Las decisiones que adopte deben respetar en todo caso las instrucciones dadas por el responsable del tratamiento.
Deber de diligencia en la elección del encargado
Un punto muy importante a tener en cuenta es que el responsable debe elegir un encargado que ofrezca garantías suficientes respecto a la implantación y el mantenimiento de las medidas técnicas y organizativas apropiadas, de acuerdo con lo establecido en el RGPD, y que garantice la protección de los derechos de las personas afectadas. Existe, por tanto, un deber de diligencia en la elección del encargado.
Relación entre el responsable y el encargado del tratamiento
Por otro lado, en lo referido a la relación entre el responsable y el encargado del tratamiento, ésta deberá establecerse a través de un contrato que deberá constar por escrito, inclusive en formato electrónico.
En el mismo debe establecerse el objeto, duración, la naturaleza y finalidad del tratamiento, el tipo de datos personales y categorías de interesados, así como las obligaciones y derechos del responsable, todo ello habida cuenta de las funciones y responsabilidades específicas del encargado en el contexto del tratamiento que se lleve a cabo.
En particular, el acuerdo o acto que se suscriba entre el responsable y el encargado del tratamiento deberá contener como mínimo las siguientes obligaciones y responsabilidades:
- Las instrucciones del responsable del tratamiento
Se debe documentar de forma precisa las instrucciones respecto del encargo realizado. Es necesario identificar de forma clara y concreta cuáles son los tratamientos de datos a realizar por el encargado del tratamiento, atendiendo al tipo de servicio prestado y a la forma de prestarlo
- El deber de confidencialidad
Hay que establecer la forma en que el encargado del tratamiento garantizará que las personas autorizadas para tratar datos personales se han comprometido, de forma expresa, a respetar la confidencialidad.
El cumplimiento de esta obligación debe quedar documentado y a disposición del responsable del tratamiento
- Las medidas de seguridad
El acuerdo debe establecer la obligación del encargado de adoptar todas las medidas de seguridad necesarias, de conformidad con lo establecido en el artículo 32 del RGPD.
En relación con este punto, es preciso señalar que el encargado del tratamiento deberá aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo que en su caso incluya.
- El régimen de la subcontratación
El acuerdo debe establecer el régimen de subcontratación. El RGPD exige la autorización previa por escrito del responsable del tratamiento para que el encargado del tratamiento pueda recurrir a otro encargado (subencargado) para desarrollar el servicio encomendado, cuando esto conlleve el tratamiento de los datos personales por parte de un tercero.
Esta autorización puede ser específica (identificación de la entidad concreta) o general (sólo autorizando la subcontratación, pero sin concretar la entidad).
- Los derechos de los interesados
Hay que establecer la forma en la que el encargado del tratamiento asistirá al responsable en el cumplimento de la obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el capítulo III del RGPD:
- Acceso a datos personales
- Rectificación
- Supresión (derecho al olvido)
- Limitación del tratamiento
- Portabilidad de datos
- Oposición
- A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles)
El acuerdo deberá establecer de forma clara si corresponde al encargado del tratamiento atender y dar respuesta a las solicitudes de estos derechos o bien establecer expresamente que su única obligación es comunicar al responsable del tratamiento que se ha ejercido un derecho.
- La colaboración en el cumplimiento de las obligaciones del responsable
Se debe establecer la forma en que el encargado ayudará al responsable a garantizar el cumplimiento de las obligaciones relativas a la aplicación de las medidas de seguridad que correspondan, la notificación de violaciones de datos a las Autoridades de Protección de Datos, la comunicación de violaciones de datos a los interesados, la realización de las evaluaciones de impacto relativa la protección de datos y, en su caso, la realización de consultas previas.
El cumplimiento de esta obligación queda supeditado a la naturaleza del tratamiento realizado y a la información que esté a disposición del encargado.
- El destino de los datos al finalizar la prestación
- La colaboración con el responsable para demostrar el cumplimiento
Es preciso establecer la obligación del encargado de poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, realizadas por el responsable o por otro auditor autorizado por el responsable.
Vigencia de Contratos
[bctt tweet=»Los contratos de encargo formalizados antes de la plena aplicabilidad del RGPD (25 de mayo de 2018) se deben adaptar para respetar lo establecido en el artículo 28 RGPD.» username=»GrupoDatcon»]No obstante, de acuerdo con la Disposición transitoria segunda del Real Decreto ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del derecho español a la normativa de la Unión Europea en materia de protección de datos, los contratos y acuerdos de encargo del tratamiento establecidos antes de 25 de mayo de 2018 mantienen su vigencia hasta la fecha de vencimiento señalada en los mismos.
Cuando se trate de encargos con duración indefinida, mantienen la vigencia hasta después de cuatro años, a contar desde el 25 de mayo de 2018.
En cualquier caso, durante la vigencia del contrato o acuerdo, cualquiera de las partes puede exigir a la otra la modificación del contrato para adaptarla a lo establecido en el artículo 28 del RGPD.