Los encargados del tratamiento son todas aquellas personas físicas o jurídicas, organismos o entidades públicas, que prestan un servicio al responsable del tratamiento y para ello necesitan acceder a datos personales que este maneja.

Existen muchos tipos de encargados del tratamiento, según la clase de servicios que supongan el acceso a datos personales. Por ejemplo, existen servicios que tienen como principal finalidad el tratamiento de datos, como las empresas que prestan servicios de alojamiento web. En otros servicios únicamente se tratan datos como consecuencia de las actuaciones realizadas por cuenta del responsable. Es el caso de la gestoría laboral que elabora las nóminas de empleados.

También existen supuestos donde puede resultar complicado diferenciar si nos encontramos ante un encargado o un responsable del tratamiento. Pero no debemos olvidar que el responsable es quien decide sobre los usos y fines de esos datos y el encargado es el que tiene que cumplir las directrices sobre el adecuado tratamiento de datos que le indica quien le encarga un determinado servicio.

Para fijar esas directrices que el encargado del tratamiento debe cumplir respecto a la protección de los datos personales a los que tiene acceso debe firmarse un contrato entre este y el responsable del tratamiento. Aquí vamos a ver en qué consiste ese contrato y para qué sirve.

Contrato de encargado del tratamiento

Se trata de un documento o acto jurídico que vincula a responsable y encargado del tratamiento y regula las relaciones entre ambos respecto al tratamiento de los datos personales.

Este contrato debe establecerse por escrito o en formato electrónico.

En el RGPD se establece también la posibilidad de que exista un acto jurídico unilateral del responsable del tratamiento que regule esta relación y precise la posición del encargado del tratamiento.

Este documento debe incluir un contenido mínimo recogido en el RGPD y del que hablaré más adelante. También puede estar basado en cláusulas tipo establecidas por la Comisión europea o por la autoridad de control.

Contenido mínimo

El contrato de encargado del tratamiento debe incluir como mínimo:

  • Servicio que el encargado va a prestar
  • Naturaleza, finalidad y duración del tratamiento
  • Clases de interesados
  • Tipo de datos personales a los que se va a acceder
  • Derechos y obligaciones del responsable

Ahora analizaré las particularidades del contenido de este contrato.

1. Instrucciones del responsable del tratamiento

Es necesario que el responsable fije claramente las instrucciones respecto a encargo efectuado, detallando de manera concreta qué tratamientos va a realizar el encargado sobre los datos, según el tipo de servicio que va a prestar. También deben especificarse claramente las cesiones de datos que el encargado va a realizar, por encargo del responsable o como consecuencia de la prestación del servicio.

En caso de que ese encargado del tratamiento realice transferencias internacionales de datos en la prestación del servicio debe someterse igualmente a las directrices establecidas por el responsable.

Cuando el encargado considere que alguna de las instrucciones dadas por el responsable es contraria a lo establecido en el RGPD debe comunicárselo inmediatamente a este.

2. Deber de confidencialidad

Tanto el encargado del tratamiento como todas aquellas personas que estén autorizadas a tratar los datos personales deben establecer su expreso compromiso a guardar secreto sobre esa información a la que tienen acceso.

Esta obligación de confidencialidad debe documentarse y ponerse a disposición del responsable del tratamiento.

3. Medidas de seguridad

En este contrato se indicará la obligación del encargado de aplicar todas las medidas de seguridad necesarias para cumplir los requisitos exigidos en el RGPD.

El responsable del tratamiento deberá realizar un análisis de riesgos para establecer las adecuadas medidas de seguridad que garanticen los derechos de los interesados y la protección de la información que va a tratar. Pero este análisis de riesgos debe realizarlo también el encargado del tratamiento para determinar los riesgos que puedan surgir del tratamiento realizado, teniendo en cuenta los medios usados y otras circunstancias de ese tratamiento.

Esas medidas de seguridad a aplicar pueden establecerse en una lista detallada o remitirse a un marco nacional o internacional o estándar reconocido.

Dentro de las medidas técnicas y organizativa a implantar según el riesgo existente serán:

  • Cifrado y seudonimización de datos personales
  • Garantía de la disponibilidad, integridad y confidencialidad de los servicios y sistemas de tratamiento
  • Restauración rápida de la disponibilidad y el acceso a los datos en caso de producirse una brecha de seguridad
  • Valorar y evaluar periódicamente la eficacia de esas medidas de seguridad para garantizar la protección de los datos

Es posible demostrar el cumplimiento de estos requisitos a través de la adhesión a códigos de conducta o mediante certificaciones.

Debe garantizarse que cualquier persona que tenga acceso a los datos personales cumpla las instrucciones facilitadas por el responsable del tratamiento.

4. Régimen de Subcontratación

Dentro del contenido del contrato se incluirá el régimen de subcontratación.

Para que el encargado del tratamiento pueda subcontratar con un tercero la prestación del servicio y el acceso a los datos por este, el RGPD exige autorización previa y por escrito del responsable. Este permiso puede ser general para cualquier entidad o específico, para una entidad concreta.

Cuando la autorización sea general, el responsable deberá ser informado por el encargado de la subcontratación realizada o de la sustitución de un subencargado por otro para que aquel pueda oponerse a ello. En el contrato puede indicarse el plazo y la manera en que el responsable puede oponerse a la subcontratación.

El subencargado también debe someterse a las mismas obligaciones y medidas de seguridad respecto a la protección de los datos personales a los que acceda que el encargado del tratamiento a través de un acuerdo igual al realizado con este. Si el subencargado incumple sus obligaciones, la responsabilidad frente al responsable del tratamiento corresponde al encargado del tratamiento.

5. Derechos de los interesados

En el contrato de encargado del tratamiento se indicará la manera en la que el encargado colaborará con el responsable para cumplir la obligación de contestar a las peticiones de ejercicio de derechos de los interesados. Estos derechos son:

  • Acceso a los datos
  • Supresión (derecho al olvido)
  • Rectificación
  • Limitación
  • Portabilidad
  • Oposición
  • No ser objeto de decisiones automáticas individualizadas

Debe especificarse si será el encargado quien responderá a esas peticiones de los interesados o simplemente comunicará al responsable el ejercicio de ese derecho.

Si es el encargado el que debe dar respuesta al interesado, se establecerá la forma y los plazos para hacerlo. En caso de que el encargado debe comunicar al responsable la existencia de esa solicitud del interesado, se indicará también la forma y el plazo para comunicarlo.

6. Cooperación con el responsable en el cumplimiento de sus obligaciones

Debe indicarse la manera en la que el encargado colaborará con el responsable para garantizar el cumplimiento de las obligaciones sobre:

  • lmplantación de medidas de seguridad adecuadas
  • Notificación de brechas de seguridad de los datos a la AEPD y a los interesados
  • Realización de evaluaciones de impacto relativas a la protección de datos
  • Realización de consultas previas

Es posible la delegación del cumplimiento de estas obligaciones en el encargado del tratamiento.

7. Destino de los datos concluida la prestación del servicio

Es necesario especificar qué va a hacer el encargado con los datos que trata una vez concluida la prestación del servicio encomendado. Este puede suprimir esos datos personales o devolvérselos al responsable o a otro encargado que este haya nombrado.

En el contrato se especificará claramente la opción elegida por el responsable y el plazo de que dispone el encargado para hacerlo.

Si por mandato de una ley se exige la conservación de esos datos, el encargado deberá devolvérselos obligatoriamente al responsable.

Puede conservarse por el encargado una copia de esos datos, bloqueados adecuadamente, durante el tiempo en el que puedan derivarse responsabilidades por la prestación del servicio.

8. Demostrar el cumplimiento al responsable

El encargado tiene la obligación de poner a disposición del responsable toda la información necesaria que justifique que cumple con los requisitos exigidos por el RGPD. También le proporcionará la información precisa para que el responsable o un tercero autorizado puedan realizar auditorías o inspecciones.

Modelo

Aquí puedes descargarte el modelo de Contrato de encargado del tratamiento.

Preguntas frecuentes

¿Qué tipo de tratamientos puede realizar un encargado sobre los datos a los que tiene acceso?

Puede realizar todos aquellos tratamientos que le haya atribuido el responsable. Dentro de esos tratamientos están: recopilación, almacenamiento, conservación, modificación, uso, consulta, comunicación o cesión, limitación o eliminación.

En el contrato suscrito entre el responsable y el encargado deben detallarse claramente esos tratamientos.

¿El responsable puede escoger cualquier encargado?

Sí, pero siempre que ofrezca las adecuadas garantías de cumplimiento del RGPD, garantizando la protección de los datos a los que tenga acceso y los derechos de los afectados.

El responsable tiene, por tanto, un deber de diligencia a la hora de elegir al encargado del tratamiento.

El encargado puede demostrar que ofrece esas adecuadas garantías de cumplimiento del RGPD a través de mecanismos de certificación o incorporándose a códigos de conducta.

¿El RGPD es aplicable únicamente a encargados situados dentro de la UE?

No, el RGPD se aplica a cualquier encargado, se encuentre o no dentro del territorio de la UE.

Esta norma se aplica al tratamiento de datos de interesados residentes dentro de la UE realizado por un encargado ubicado fuera de la UE cuando ese tratamiento se refiera a:

  • Oferta de bienes y servicios
  • Control del comportamiento

¿Hay un régimen especial para contratar un encargado que no se encuentre dentro de la UE?

En este caso, el contrato con ese encargado debe cumplir los requisitos establecidos para las transferencias internacionales.

Las transferencias a terceros países no puede implicar una menor protección de los interesados. Si se trata de un país que no ofrece las adecuadas garantías de protección, se debe justificar por el responsable que ese encargado cumple los requisitos exigidos por el RGPD.

Contrato de Encargado del tratamiento – ¿Qué es y para qué sirve?
4.7 (93.33%) 6 voto[s]

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.