El encargado del tratamiento en el Reglamento General de Protección de Datos (RGPD)

AVISO IMPORTANTE

Desde el pasado 25 de Mayo de 2018, entró en vigor la aplicación del nuevo Reglamento General de Protección de Datos (RGPD) que modifica varios aspectos de la Ley de Protección de Datos del año 1995. Por lo tanto esta entrada podría estar desactualizada.

Ver las novedades del RGPD >>

Si tiene alguna duda o desea información personalizada, póngase en contacto con nosotros y estudiaremos su caso.

El encargado del tratamiento en el Reglamento General de Protección de Datos (RGPD)¿Puede el responsable del tratamiento elegir cualquier encargado del tratamiento?

El nuevo Reglamento General de Protección de Datos Personales

Fue aprobado el 25 de mayo de 2016 a nivel europeo (Reglamento UE 016/679), con importantes cambios para las empresas, entre ellos la elaboración de contratos entre responsables y encargados del tratamiento.

El encargado puede realizar todos los tratamientos, automatizados o no, que el responsable del tratamiento le haya encomendado formalmente. En todo caso, deben quedar claramente delimitados en el acuerdo que se adopte.

El responsable del tratamiento debe elegir un encargado del tratamiento que ofrezca garantías suficientes respecto a la implantación y el mantenimiento de las medidas técnicas y organizativas apropiadas, de acuerdo con lo establecido en el RGPD, y que garantice la protección de los derechos de las personas afectadas.

Existe, por tanto, un deber de diligencia en la elección del responsable.  Considerando el Artículo 81. (RGPD) prevé que el encargado del tratamiento debe ofrecer suficientes garantías en lo referente a conocimientos especializados, fiabilidad y recursos, con vistas a la aplicación de medidas técnicas y organizativas que cumplan los requisitos del Reglamento, incluida la seguridad del tratamiento. Para demostrar que el encargado ofrece garantías suficientes, el RGPD prevé que la adhesión a códigos de conducta o la posesión de un certificado de protección de datos pueden servir como mecanismos de prueba.

La regulación de la relación entre el responsable y el encargado del tratamiento debe establecerse a través de un contrato o de un acto jurídico similar que los vincule. El contrato o acto jurídico debe constar por escrito, inclusive en formato electrónico. La posibilidad de regular esta relación a través de un acto jurídico unilateral del responsable del tratamiento es una de las novedades previstas en el RGPD.

El contenido del acto o acuerdo puede basarse en cláusulas tipo establecidas por la Comisión Europea o por la autoridad de control, inclusive cuando formen parte de una certificación otorgada al responsable o al encargado del tratamiento.

Además si se externalizan las funciones del delegado de protección de datos a un tercero, éste tendrá la consideración de encargado del tratamiento, y por tanto, deberá formalizarse un encargo del tratamiento. En particular, el acuerdo o acto debe contener:

a) Las instrucciones del Responsable del Tratamiento.

b) El deber de confidencialidad.

c) Las medidas de seguridad.

d) El régimen de la subcontratación.

e) Los derechos de los interesados.

f) La colaboración en el cumplimiento de las obligaciones del responsable.

g) El destino de los datos al finalizar la prestación.

h) La colaboración con el responsable para demostrar el cumplimiento.

 

Artículos relacionados

¿Cómo afecta el Brexit a la Protección de Datos? Muchas son las consecuencias que van a producirse cuando el Brexit se materialice, tanto para los británicos como para el resto de Europa. Consecuencias en varios ámbitos, como el económico o el político, más relevantes en un principio, pero que tamp...
Requisitos para adaptar un despacho de abogados a la LOPD  Un despacho de abogados, al igual que cualquier otro tipo de actividad profesional, debe ser capaz de adaptarse a la Ley Orgánica de Protección de Datos (LOPD). Cumplir con algunas exigencias será sencillo, mientras que, para otras, seguram...
Tus datos son sagrados, dales el valor que les corresponde Hoy en día sufrimos un bombardeo constante de noticias e informaciones hasta tal punto que es difícil estar al día de todos los eventos. Nosotros tampoco escapamos a este “capitalismo informativo”. Recientemente tuvimos constancia de una noticia del ...
La comunidad de propietarios y la protección de datos (LOPD) Las comunidades de propietarios obligadas a inscribir al menos un fichero en la AEPD. La comunidad de propietarios ¿Está obligada a inscribir algún fichero en la AEPD?Sí, al menos el fichero en el que se almacena toda la información derivada de ...