El Encargado de Tratamiento de datos, es toda persona física o jurídica, autoridad pública, servicio u organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del Responsable de tratamiento.

Ejemplos: Asesorías laborales, fiscales o contables; Prevención de riesgos laborales; Mantenimiento de equipos y aplicaciones informáticas; Copias de seguridad externas; Seguridad o videovigilancia; Destrucción de documentos; Servicios jurídicos; Cualquier empresa de servicios que, para realizarlos, requiera el acceso a datos personales del Responsable; etc.

¿Qué obligaciones tiene el Encargado de tratamiento?

Igual que el Responsable, el Encargado de tratamiento también tiene el deber de proteger los datos personales que trata por cuenta del responsable, en cualquier fase de tratamiento, desde el diseño de tratamiento y por defecto durante todo el ciclo de vida del mismo: recogida, tratamiento, conservación y supresión. También deberá garantizar un nivel de seguridad adecuado en relación con los riesgos que entrañe el tratamiento.

El Encargado de tratamiento deberá ofrecer garantías suficientes para implementar en su organización políticas técnico-organizativas apropiadas para proteger los datos personales, el ejercicio de los derechos del interesado y la aplicación de las instrucciones que determine el Responsable de tratamiento.

Las garantías suficientes que deberá fundamentar el Encargado de tratamiento podrán demostrarse mediante los mecanismos de certificación previstos en el Reglamento, o en caso de grupos de empresas, con la adhesión y cumplimiento de códigos de conducta aprobados por la Autoridad de control o la Comisión Europea según su ámbito territorial.

El Encargado de tratamiento será considerado Responsable de tratamiento cuando participe en la determinación de los fines y los medios de tratamiento.

IMPORTANTE: también cuando realice el tratamiento sin seguir las instrucciones recibidas por el Responsable de tratamiento.

La Autoridad de control podrá adoptar cláusulas contractuales tipo para la formalización de contratos que rijan la relación entre el Responsable y el Encargado de tratamiento.

El contrato de Encargado de tratamiento de datos

La relación entre el Responsable y el Encargado de tratamiento se regirá por un contrato, preferiblemente en formato electrónico, donde se especificarán sus respectivas funciones y se disponga:

  • El objeto, duración, naturaleza y finalidad de tratamiento.
  • El tipo de datos personales y categorías de interesados.
  • Las obligaciones y derechos del Responsable de tratamiento.
  • El tratamiento se realizará siguiendo las instrucciones documentadas del Responsable de tratamiento, incluyendo las transferencias de datos a terceros países u organizaciones internacionales.
  • El personal autorizado para realizar el tratamiento se haya comprometido a respetar la confidencialidad o tengan la obligación legal de confidencialidad.
  • Se implementarán las medidas de seguridad que establece el Reglamento y cooperará con el Responsable de tratamiento para garantizar su cumplimiento.
  • No se podrá subcontratar el servicio a otro Encargado de tratamiento de datos sin la autorización previa y por escrito del Responsable de tratamiento.
  • Se crearán las condiciones técnicas y organizativas necesarias para permitir al Responsable de tratamiento dar curso a las solicitudes de los derechos de los interesados.
  • Al término del contrato suprimirá o devolverá, a elección del Responsable de tratamiento, los datos tratados y eliminará las copias existentes, excepto si lo prohíbe la legislación vigente.
  • Habrá que poner a disposición del Responsable de tratamiento la información necesaria para demostrar el cumplimiento del contrato, permitiendo inspecciones o auditorías.
  • Si el Encargado de tratamiento de datos determina por su cuenta los fines y los medios de tratamiento, será considerado Responsable de tratamiento, y estará sujeto a las normas aplicables como tal.

Subcontratación del servicio a otro Encargado de tratamiento de datos

El Encargado de tratamiento de datos no podrá subcontratar el servicio a otro Encargado sin la autorización previa y por escrito del Responsable de tratamiento.

La autorización para subcontratar podrá ser:

  • Específica: para subcontratar un Encargado de tratamiento.
  • General: para subcontratar varios Encargados de tratamiento. Cuando existan cambios de Encargados, se deberá informar previamente al Responsable y éste podrá oponerse a ellos.

Cualquier subcontratación autorizada por el Responsable se regirá por un contrato entre los dos Encargados que disponga las mismas obligaciones adquiridas con el Responsable.

El Encargado de tratamiento de datos será responsable subsidiario ante el Responsable del incumplimiento de las obligaciones del Encargado subcontratado.

Registro de las actividades de tratamiento

Los Encargados de tratamiento, o sus Representantes, deberán llevar y conservar actualizado un Registro de actividades de tratamiento, en formato electrónico, efectuadas en nombre de cada Responsable, que contenga:

  • Nombre y datos contacto de todos los implicados en el tratamiento: Encargados, Responsables, y si es el caso, Coencargados, Corresponsables, Destinatarios, Representantes y DPOs.
  • Categorías de datos y de tratamiento efectuados en nombre de cada Responsable.
  • Transferencias de datos a terceros países, con la identificación de los mismos y documentación de las garantías apropiadas.
  • Y cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.

Si la Agencia Española de >protección de datos lo solicita, los Encargados de tratamiento, o sus Representantes deberán poner a su disposición el Registro de actividades de tratamiento y cooperar en el desempeño de sus funciones.

Responsabilidades en caso de sanción o indemnización

Las sanciones por incumplimiento del Reglamento se aplicarán a cada Responsable, Corresponsable o Encargado, según la infracción cometida por cada uno.

Las indemnizaciones a un interesado que haya sufrido perjuicio material o inmaterial como consecuencia de una vulneración del Reglamento se aplicarán en su totalidad a cada uno los participantes de tratamiento, sean Responsable, Corresponsable o Encargado.

El Responsable o Encargado que haya pagado una compensación total podrá reclamar a los demás participantes la parte que les corresponda.

Los Responsables o Encargados estarán exentos de responsabilidades si consiguen probar que no son responsables del hecho que ha provocado el perjuicio.

Asesórate en Protección de datos para Pymes

Cualquier tratamiento de Datos de carácter personal es fundamental recibir asesoramiento profesional.

Contáctanos. Comunícate con nosotros para conocer mucho más sobre Protección de datos para Pymes. También entérate sobre nuestros demás servicios. Escríbenos a través de nuestra web o directamente por correo. También puedes encontrarnos por Facebook.