Encargado del tratamiento.

[mr_rating_result]

  1. El acceso por parte de un encargado de tratamiento a los datos personales que resulten necesarios para la prestación de un servicio al responsable no se considerará comunicación de datos siempre que se cumpla lo establecido en el Reglamento (UE) 2016/679, en la presente ley orgánica y en sus normas de desarrollo.
  2. Tendrá la consideración de responsable del tratamiento y no la de encargado quien en su propio nombre y sin que conste que actúa por cuenta de otro, establezca relaciones con los afectados aun cuando exista un contrato o acto jurídico con el contenido fijado en el artículo 28.3 del Reglamento (UE) 2016/679. Esta previsión no será aplicable a los encargos de tratamiento efectuados en el marco de la legislación de contratación del sector público.

Tendrá asimismo la consideración de responsable del tratamiento quien figurando como encargado utilizase los datos para sus propias finalidades.

  1. El responsable del tratamiento determinará si, cuando finalice la prestación de los servicios del encargado, los datos personales deben ser destruidos, devueltos al responsable o entregados, en su caso, a un nuevo encargado.

No procederá la destrucción de los datos cuando exista una previsión legal que obligue a su conservación, en cuyo caso deberán ser devueltos al responsable, que garantizará su conservación mientras tal obligación persista.

  1. El encargado del tratamiento podrá conservar, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el responsable del tratamiento.
  2. En el ámbito del sector público podrán atribuirse las competencias propias de un encargado del tratamiento a un determinado órgano de la Administración General del Estado, la Administración de las comunidades autónomas, las Entidades que integran la Administración Local o a los Organismos vinculados o dependientes de las mismas mediante la adopción de una norma reguladora de dichas competencias, que deberá incorporar el contenido exigido por el artículo 28.3 del Reglamento (UE) 2016/679.

Vea nuestro curso de LOPD GDD

 

1. Definición del Encargado del Tratamiento

El Encargado del Tratamiento es la persona física o jurídica, autoridad pública, servicio u organismo que trata datos personales por cuenta del Responsable del Tratamiento. El encargado no actúa por iniciativa propia, sino siguiendo las instrucciones del responsable.

2. Obligaciones del Encargado del Tratamiento

a. Cumplimiento de las Instrucciones del Responsable

  • Actuar según instrucciones: El encargado del tratamiento solo debe tratar los datos personales de acuerdo con las instrucciones recibidas del responsable del tratamiento. No puede utilizarlos para fines distintos o fuera del ámbito establecido por el responsable.

b. Garantía de Seguridad

  • Medidas de seguridad: Debe implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, conforme al artículo 32 del Reglamento General de Protección de Datos (RGPD). Estas medidas deben proteger contra el acceso no autorizado, la pérdida, la destrucción o el daño de los datos personales.

c. Confidencialidad

  • Compromiso de confidencialidad: Las personas autorizadas para tratar los datos personales deben estar sujetas a un deber de confidencialidad, ya sea a través de un contrato de trabajo o un acuerdo específico.

d. Subcontratación

  • Subencargados del tratamiento: El encargado del tratamiento no puede contratar a otro encargado (subencargado) para realizar un tratamiento sin la autorización previa y específica del responsable del tratamiento. Si se contrata a un subencargado, deben aplicarse los mismos requisitos y garantías que rigen la relación entre el responsable y el encargado original.

e. Asistencia al Responsable del Tratamiento

  • Cooperación en las solicitudes de los interesados: Debe asistir al responsable en la respuesta a las solicitudes de ejercicio de derechos por parte de los interesados, como los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad de los datos.
  • Notificación de violaciones de seguridad: Está obligado a notificar al responsable del tratamiento, sin dilación indebida, cualquier violación de la seguridad de los datos personales.

f. Cumplimiento Normativo

  • Cumplimiento del RGPD y LOPDGDD: Debe asegurar que el tratamiento de datos personales cumpla con las disposiciones del RGPD y la LOPDGDD, tanto en las operaciones de tratamiento como en la gestión de la seguridad de los datos.

3. Contrato entre Responsable y Encargado del Tratamiento

a. Formalización del Contrato

  • Contrato o acto jurídico: La relación entre el responsable del tratamiento y el encargado del tratamiento debe estar regulada por un contrato o un acto jurídico que vincule al encargado y que establezca las materias detalladas en el artículo 28 del RGPD.

b. Contenido del Contrato

El contrato debe incluir al menos los siguientes elementos:

  • Objeto, duración y naturaleza del tratamiento: Especificar el objeto, la duración, la naturaleza y la finalidad del tratamiento, así como el tipo de datos personales y las categorías de interesados.
  • Obligaciones del encargado: Incluir las obligaciones del encargado del tratamiento, como la implementación de medidas de seguridad, la confidencialidad de los datos, la subcontratación (si es aplicable), y la cooperación con el responsable.
  • Devolución o destrucción de los datos: Al término de la relación contractual, el encargado debe devolver o destruir los datos personales, a elección del responsable, salvo que la legislación aplicable exija su conservación.

4. Derechos y Responsabilidades Compartidas

a. Responsabilidad Solidaria

  • Responsabilidad conjunta: En caso de incumplimiento, tanto el responsable como el encargado del tratamiento pueden ser considerados responsables solidarios, lo que implica que ambos podrían ser sancionados por infracciones relacionadas con el tratamiento de datos personales.

b. Transferencias Internacionales de Datos

  • Transferencias a terceros países: Si el encargado del tratamiento realiza transferencias internacionales de datos personales, estas deben cumplir con las condiciones establecidas por el RGPD y la LOPDGDD, como la existencia de garantías adecuadas o decisiones de adecuación por parte de la Comisión Europea.

5. Supervisión y Auditoría

a. Derecho a auditar

  • Auditorías del responsable: El responsable del tratamiento tiene el derecho de auditar al encargado para verificar que esté cumpliendo con las medidas de seguridad y las instrucciones recibidas. Esto puede incluir la solicitud de informes de auditoría o inspecciones directas.

b. Informes de cumplimiento

  • Obligación de informar: El encargado del tratamiento debe proporcionar al responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como permitir y contribuir a las auditorías e inspecciones realizadas por el responsable o por otro auditor autorizado por este.

Compártelo en tus redes

[mr_rating_form]

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestra web. Si sigues utilizando este sitio asumimos que estás de acuerdo. VER

ACEPTAR