Con la entrada en vigor del RGPD y la LOPDGDD hay dos figuras que han ganado todavía más relevancia en la gestión de los datos personales: el responsable y encargado del tratamiento. En este artículo te hablamos precisamente de la figura del encargado del tratamiento: quién puede ejercer, cuáles son sus funciones y qué obligaciones ha de cumplir por ley.
En este artículo hablamos de:
- ¿Qué es un encargado de protección de datos?
- La figura del encargado del tratamiento en el RGPD
- ¿Quién puede ser el encargado del tratamiento de datos personales?
- ¿Cuáles son las funciones principales que debe realizar el encargado del tratamiento de datos?
- ¿Cuáles son las obligaciones del encargado del tratamiento de datos?
- Ejemplos de encargado del tratamiento
- Subcontratación de servicios por parte de un encargado del tratamiento
¿Qué es un encargado de protección de datos?
El encargado del tratamiento de datos se define como aquella persona física o jurídica, autoridad pública u organismo que brinda un servicio que conlleva el tratamiento de datos personales por cuenta del responsable.
Será responsable del tratamiento quien controla y se responsabiliza de los datos que posee. También el que se encargue de determinar los fines y medios del tratamiento, y el encargado se limitará a llevarlo a la práctica siguiendo las directrices del responsable.
Por decirlo de otra manera, el responsable cede el tratamiento de los datos en la empresa el encargado, el cual ha de perseguir los fines y emplear los medios dispuestos por el primero.
La figura del encargado del tratamiento en el RGPD
El artículo 28.1 del RGPD hace referencia a la figura del encargado de tratamiento, indicando que el responsable elegirá un único encargado que garantice la capacidad para aplicar las medidas técnicas y organizativas necesarias a las que hace referencia el reglamento.
Asimismo, el artículo 28.3 del RGPD puntualiza que “el tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable“.
Por tanto, se puede decir que una de las principales diferencias entre responsable y encargado del tratamiento de datos es que el responsable cede el tratamiento de los datos al encargado, pero sigue siendo el máximo responsable sobre los fines, medios y consecuencias del tratamiento de los datos.
¿Quién puede ser el encargado del tratamiento de datos personales?
El artículo 28 del RGPD señala que el responsable del tratamiento de datos podrá elegir a un único encargado del tratamiento, siempre y cuando ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas necesarias que garanticen la protección de los derechos de los interesados, de acuerdo a lo dispuesto en el propio reglamento.
En este sentido, pueden ejercer como encargados del tratamiento personas físicas o jurídicas, autoridades públicas, servicios u otros organismos autorizados para el tratamiento de datos personales.
El encargo del tratamiento siempre se cede a terceros externos a la empresa, salvo en los casos de grupos de empresas, en los que una de ellas puede actuar como encargado del tratamiento para otra empresa del grupo.
¿Cuáles son las funciones principales que debe realizar el encargado del tratamiento de datos?
El encargado del tratamiento RGPD es la figura que realiza un tratamiento de datos en representación de otro. Pero, ¿cuáles son sus funciones?
- Tratar los datos de acuerdo a las instrucciones proporcionadas por el responsable, incluyendo las transferencias internacionales de datos.
- Asistir al responsable mediante la aplicación de las medidas técnicas y organizativas necesarias, teniendo en cuenta la naturaleza del tratamiento, para garantizar que éste pueda responder a las solicitudes de los interesados para ejercer sus derechos ARCO.
- Ayudar al responsable a garantizar el cumplimiento de los dispuestos en los artículos 32 a 36 del RGPD, sobre seguridad del tratamiento, notificación de violaciones de seguridad o elaboración de valuaciones de impacto.
- Suprimir o devolver, a elección del responsable, los datos personales una veza que haya finalizado la prestación de servicios.
- Poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones anteriores.
¿Cuáles son las obligaciones del encargado del tratamiento de datos?
Las obligaciones del encargado de tratamiento de datos respecto a los datos personales son las siguientes.
Obligaciones organizativas
El encargado del tratamiento RGPD ha de cumplir una serie de obligaciones organizativas:
- Deberá manejar los datos personales de acuerdo a las instrucciones proporcionadas por el responsable del fichero en el tiempo y la forma oportunos.
- No podrá usar los datos con fines diferentes a los indicados.
- Utilizará los datos de carácter personal a los que pueda acceder única y exclusivamente para satisfacer sus obligaciones contractuales.
Obligaciones en las medidas de seguridad
Se deben establecer una serie de medidas relativas a mantener íntegros los datos y que no se comuniquen a externos son consentimiento
- Garantizará que las personas autorizadas para tratar los datos se hayan comprometido a respetar la confidencialidad.
- Adoptará las medidas técnicas y organizativas que la normativa, tanto europea como nacional exige.
- Destruir o restituir al responsable del fichero los datos de carácter personal, así como los soportes que lo contengan, dando fe por escrito de dicha devolución o destrucción.
- Conservar, debidamente bloqueados, los datos en tanto pudieran dar lugar a responsabilidades de su relación con el responsable del tratamiento.
Obligaciones de asistencia al responsable
Es necesario establecer una colaboración entre las dos figuras principales
- Asistirá al responsable, a través de medidas técnicas y organizativas apropiadas, para que este pueda cumplir con su obligación de responder a las solicitudes de Derechos Arco
- No declarar, transmitir, ceder o comunicar los ficheros y datos en ellos contenidos, de ninguna forma, a ningún tercero.
Y por último, pero muy importante, y en relación a lo que vimos en el apartado de medidas previas, el encargado pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el contrato.
También permitirá y contribuirá la realización de
- Auditorías
- Inspecciones
Todas estas obligaciones del encargado tienen como objetivo cumplir la normativa de protección de datos y respetar el principio de accountability.
Ejemplos de encargado del tratamiento
Imaginemos una Empresa X que cuenta con una base de datos de los clientes, de los cuáles es responsable del tratamiento. Sin embargo, para el mantenimiento de dichas bases de datos, la Empresa X contrata a Informática X, la cual también tendrá acceso a los datos de los clientes para realizar el mantenimiento informático. En este caso, Informática X actuará como encargada del tratamiento.
Un ejemplo más complejo podría ser el de una Asesoria X. Las asesorías ejercen a la vez como responsables y encargadas del tratamiento. Por ejemplo, será la responsable del tratamiento de los clientes que tiene en su base de datos. A la hora de brindar sus servicios a otras empresas (por ejemplo, gestión de nóminas) ejercerá como encargada del tratamiento.
Otro ejemplo lo tenemos con el abogado de protección de datos, cuyos servicios pueden contratarse por una empresa (como responsable del tratamiento) para que la asesore en materia de protección de datos o cumpla la función de DPO, en cuyo caso este abogado sería un encargado de tratamiento.
Subcontratación de servicios por parte de un encargado del tratamiento
Se puede dar el caso, que la empresa a la que contratamos para la realización de un servicio, subcontrate a otra empresa para ello.
Con carácter general, el encargado del tratamiento RGPD no podrá subcontratar con un tercero la realización de ningún tratamiento que le haya delegado el responsable del tratamiento.
Solo se podrá subcontratar si está autorizado para ello por escrito, ya sea de forma general o específica.
El encargado del tratamiento de datos personales está obligado a informar al responsable de la entrada de un subencargado o su sustitución por otros subencargados, dando así al responsable la oportunidad de oponerse a dichos cambios.
En todo caso, el encargado deberá imponer, mediante el contrato o acto jurídico, las mismas obligaciones que tiene aquel y que se recogen en el contrato inicial.
En definitiva, el encargado del tratamiento tiene básicamente las mismas responsabilidades en materia de protección de datos que un responsable, es decir, debe garantizar la seguridad de los datos personales que trata, además de cumplir con las obligaciones encomendadas por el responsable del tratamiento en el correspondiente contrato.
Si tu empresa presta servicios a otras, estas requieren firmar contigo un contrato de encargo de tratamiento, porque vas a tratar datos de sus clientes o empleados y tienes dudas al respecto, siempre puedes buscar asesoramiento sobre protección de datos en consultorías que cuenten con expertos en la materia, estos revisarán los contratos de encargo y te ayudarán ante cualquier duda, problema o conflicto que pudiera surgir.
Desde Grupo Ático34 te facilitamos el modelo contrato de encargado de tratamiento de datos que necesitan firmar tus proveedores de servicios y, si tienes cualquier duda, consúltanos.