[{"@context":"http:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/ayudaleyprotecciondatos.es\/2019\/06\/28\/encargado-tratamiento\/#BlogPosting","mainEntityOfPage":"https:\/\/ayudaleyprotecciondatos.es\/2019\/06\/28\/encargado-tratamiento\/","headline":"Encargado del tratamiento de datos","name":"Encargado del tratamiento de datos","description":"\u00bfEn qu\u00e9 consiste la figura del encargado de tratamiento de datos? \u00bfQu\u00e9 obligaciones tiene? \u00bfQu\u00e9 relaci\u00f3n le une con el responsable? + INFO aqu\u00ed.","datePublished":"2019-06-28","dateModified":"2021-06-16","author":{"@type":"Person","@id":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/#Person","name":"Ana Gonz\u00e1lez","url":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/","image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"AyudaLeyProteccionDatos","logo":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","width":100,"height":100},"url":"https:\/\/ayudaleyprotecciondatos.es\/2019\/06\/28\/encargado-tratamiento\/","commentCount":"4","comment":[{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2019\/06\/28\/encargado-tratamiento\/#Comment1","dateCreated":"2019-11-07 19:30:42","description":"Buenas tardes Mamen, siempre que esa empresa de transportes tenga datos personales facilitados por la empresa principal se considera encargado del tratamiento y debe firmar el contrato.","author":{"@type":"Person","name":"Ana Gonz\u00e1lez","url":""}},{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2019\/06\/28\/encargado-tratamiento\/#Comment2","dateCreated":"2019-11-07 19:28:15","description":"Buenos d\u00edas Mamen, las aseguradoras ser\u00edan encargados de tratamiento y es necesario firmar el correspondiente contrato de encargado de tratamiento. Con las mutuas ocurre lo mismo. Tanto aseguradoras como mutuas deben incluirse en el Documento de seguridad como terceros que acceden a los datos personales.","author":{"@type":"Person","name":"Ana Gonz\u00e1lez","url":""}},{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2019\/06\/28\/encargado-tratamiento\/#Comment3","dateCreated":"2019-11-07 09:36:22","description":"Buenos d\u00edas.\r\n\r\n- Una empresa que se dedique a la fabricaci\u00f3n de productos, cuando tiene que enviarlos a personas tanto f\u00edsicas como jur\u00eddicas, contrata empresas particulares (por ejemplo, transportes pepito sl) para que env\u00ede los paquetes que ha empaquetado y etiquetado. Esa empresa \u00bfes encargada de tratamiento o responsable o nada? \u00bfEs necesario firmar un contrato de encargado con ella? \u00bfY si solo realizamos un env\u00edo puntual con ella?\r\n\r\n- De igual modo, una empresa que se dedique a la venta de ganado, cuando los vende y tiene que llevarlos a otro lugar, contrata a una empresa de transporte (tipo transportes pepito sl). Esa empresa \u00bfes encargada de tratamiento o responsable o nada? \u00bfEs necesario firmar un contrato de encargado con ella? \u00bfY si solo realizamos un env\u00edo puntual con ella?\r\n\r\nMuchas gracias y un saludo.","author":{"@type":"Person","name":"MAMEN","url":""}},{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2019\/06\/28\/encargado-tratamiento\/#Comment4","dateCreated":"2019-11-07 09:27:12","description":"Buenos d\u00edas.\r\n- Si una empresa que tiene varios trabajadores y cada uno de ellos est\u00e1 asegurado en una compa\u00f1\u00eda de seguros (allianz, caser, mapfre, ect), esa compa\u00f1\u00eda \u00bfes encargado de tratamiento o responsable del tratamiento? \u00bfTendr\u00eda la empresa que firmar un contrato de encargado del tratamiento con la compa\u00f1\u00eda o queda firmado al contratar los servicios de seguro? \r\n\r\n- Igual pasa con las mutuas, \u00bfhay que firmar el contrato o queda firmado? \r\n\r\n- Y tanto para mutuas como para seguros, \u00bfdeben incluirse en el documento de seguridad?\r\n\r\nGracias y un saludo.","author":{"@type":"Person","name":"MAMEN","url":""}}],"about":["LOPDGDD & RGPD"],"wordCount":2070,"articleBody":" if (typeof BingeIframeRan === \"undefined\") { window.addEventListener(\"message\", receiveMessage, false); function receiveMessage(event) { try { var parsed = JSON.parse(event.data) if (parsed.context === \"iframe.resize\") { var iframes = document.getElementsByClassName(\"binge-iframe\"); for (let i = 0; i < iframes.length; ++i) { if (iframes[i].src == parsed.src || iframes[i].contentWindow === event.source) { iframes[i].height = parsed.height; } iframes[i].style.opacity = 1; } } } catch (error) { } } var BingeIframeRan = true; } Una de las figuras clave dentro de la normativa de protecci\u00f3n de datos es la del encargado de tratamiento. \u00bfQui\u00e9n puede actuar como encargado de tratamiento de datos? \u00bfQu\u00e9 obligaciones tiene? \u00bfQu\u00e9 relaci\u00f3n le une con el responsable del tratamiento? En este art\u00edculo te resumimos todo lo que dicen el RGPD y la LOPDGDD.\u00bfQu\u00e9 es un encargado del tratamiento de datos personales?El encargado del tratamiento de datos en la LOPD y RGPD\u00bfQui\u00e9n puede ser el encargado del tratamiento de datos personales?Obligaciones del encargado del tratamiento de datosObligaciones organizativasEn medidas de seguridadDe asistencia al responsableEn caso de subcontrataci\u00f3nAutorizaci\u00f3n generalRelaci\u00f3n entre el responsable y el encargado de TratamientoContratoDiferencias entre Responsable y Encargado de Tratamiento de Datos\u00bfQu\u00e9 es un encargado del tratamiento de datos personales?Un encargado de tratamiento de datos es aquella persona f\u00edsica o jur\u00eddica, organismo o entidad p\u00fablica, que presta un servicio al responsable del tratamiento y para ello necesita acceder a los datos personales que este maneja.Existen muchos tipos de encargados del tratamiento, seg\u00fan la clase de servicios que supongan el acceso a datos personales. Por ejemplo, existen servicios que tienen como principal finalidad el tratamiento de datos, como las empresas que prestan servicios de alojamiento web. En otros servicios \u00fanicamente se tratan datos como consecuencia de las actuaciones realizadas por cuenta del responsable. Es el caso de la gestor\u00eda laboral que elabora las n\u00f3minas de empleados.Tambi\u00e9n existen supuestos donde puede resultar complicado diferenciar si nos encontramos ante un encargado o un responsable del tratamiento. Pero no debemos olvidar que el responsable es quien decide sobre los usos y fines de esos datos y el encargado es el que tiene que cumplir las directrices sobre el adecuado tratamiento de datos que le indica quien le encarga un determinado servicio.Para fijar esas directrices que el encargado del tratamiento debe cumplir respecto a la protecci\u00f3n de los datos personales a los que tiene acceso debe firmarse un contrato entre este y el responsable del tratamientoEl encargado del tratamiento de datos en la LOPD y RGPDLa figura del encargado del tratamiento en el RGPD se define en el art\u00edculo 28 de la normativa europea. En dicho art\u00edculo se establecen los requisitos que debe cumplir el encargado respecto a la protecci\u00f3n de datos:El responsable elegir\u00e1 a un encargado que pueda aplicar las medidas t\u00e9cnicas y organizativas necesarias para garantizar la seguridad e integridad de los datos.La adhesi\u00f3n del encargado a un mecanismo de certificaci\u00f3n o c\u00f3digo de conducta podr\u00e1 ser usado como garant\u00eda de capacidad para el cumplimiento normativo.El encargado no podr\u00e1 recurrir a un subencargado sin la autorizaci\u00f3n previa del responsable.La relaci\u00f3n entre responsable y encargado se deber\u00e1 regir por un contrato u otro acto jur\u00eddico vinculante.Si el encargado del tratamiento infringe la normativa al determinar los fines y medios del tratamiento, ser\u00e1 considerado como responsable de dicho tratamiento.Por su parte, la figura del encargado de tratamiento en la LOPD sigue las directrices planteadas por el RGPD, y tan solo a\u00f1ade y matiza algunos peque\u00f1os puntos. Por ejemplo, hace referencia a la potestad del encargado de tratamiento para guardar los datos debidamente bloqueados, siempre y cuando sean necesarios ante la reclamaci\u00f3n de responsabilidades derivadas de su relaci\u00f3n con el responsable.\u00bfQui\u00e9n puede ser el encargado del tratamiento de datos personales?El responsable puede elegir libremente el encargado del tratamiento, siempre y cuando\u00a0ofrezca las adecuadas garant\u00edas de cumplimiento del RGPD, garantizando la protecci\u00f3n de los datos a los que tenga acceso y los derechos de los afectados.El responsable tiene, por tanto, un deber de diligencia a la hora de elegir al encargado del tratamiento.El encargado puede demostrar que ofrece esas adecuadas garant\u00edas de cumplimiento del RGPD a trav\u00e9s de mecanismos de certificaci\u00f3n o incorpor\u00e1ndose a c\u00f3digos de conducta.Obligaciones del encargado del tratamiento de datosPara desarrollar su actividad de acuerdo a las directrices que marcan el RGPD y la LOPD, el encargado del tratamiento de datos personales ha de cumplir con una serie de obligaciones que vemos a continuaci\u00f3n.Obligaciones organizativasEs necesario que el responsable de tratamiento fije claramente las instrucciones respecto a encargo efectuado, detallando de manera concreta qu\u00e9 tratamientos va a realizar el encargado sobre los datos, seg\u00fan el tipo de servicio que va a prestar. Tambi\u00e9n deben especificarse claramente las cesiones de datos que el encargado va a realizar, por encargo del responsable o como consecuencia de la prestaci\u00f3n del servicio.En caso de que ese encargado del tratamiento realice transferencias internacionales de datos en la prestaci\u00f3n del servicio debe someterse igualmente a las directrices establecidas por el responsable.Cuando el encargado considere que alguna de las instrucciones dadas por el responsable es contraria a lo establecido en el RGPD debe comunic\u00e1rselo inmediatamente a este.Asimismo, tanto el encargado del tratamiento como todas aquellas personas que est\u00e9n autorizadas a tratar los datos personales deben establecer su expreso compromiso a guardar secreto sobre esa informaci\u00f3n a la que tienen acceso.Esta obligaci\u00f3n de confidencialidad debe documentarse y ponerse a disposici\u00f3n del responsable del tratamiento.En medidas de seguridadEl encargado debe aplicar todas las medidas de seguridad necesarias para cumplir los requisitos exigidos en el RGPD.El responsable del tratamiento deber\u00e1 realizar un an\u00e1lisis de riesgos para establecer las adecuadas medidas de seguridad que garanticen los derechos de los interesados y la protecci\u00f3n de la informaci\u00f3n que va a tratar. Pero este an\u00e1lisis de riesgos debe realizarlo tambi\u00e9n el encargado del tratamiento para determinar los riesgos que puedan surgir del tratamiento realizado, teniendo en cuenta los medios usados y otras circunstancias de ese tratamiento.Esas medidas de seguridad a aplicar pueden establecerse en una lista detallada o remitirse a un marco nacional o internacional o est\u00e1ndar reconocido.Dentro de las medidas t\u00e9cnicas y organizativa a implantar seg\u00fan el riesgo existente ser\u00e1n:Cifrado y seudonimizaci\u00f3n de datos personalesGarant\u00eda de la disponibilidad, integridad y confidencialidad de los servicios y sistemas de tratamientoRestauraci\u00f3n r\u00e1pida de la disponibilidad y el acceso a los datos en caso de producirse una brecha de seguridadValorar y evaluar peri\u00f3dicamente la eficacia de esas medidas de seguridad para garantizar la protecci\u00f3n de los datosEs posible demostrar el cumplimiento de estos requisitos a trav\u00e9s de la adhesi\u00f3n a c\u00f3digos de conducta o mediante certificaciones.Debe garantizarse que cualquier persona que tenga acceso a los datos personales cumpla las instrucciones facilitadas por el responsable del tratamiento.De asistencia al responsableDebe indicarse la manera en la que el encargado colaborar\u00e1 con el responsable para garantizar el cumplimiento de las obligaciones sobre: lmplantaci\u00f3n de medidas de seguridad adecuadasNotificaci\u00f3n de brechas de seguridad de los datos a la AEPD y a los interesadosRealizaci\u00f3n de evaluaciones de impacto relativas a la protecci\u00f3n de datosRealizaci\u00f3n de consultas previasEs posible la delegaci\u00f3n del cumplimiento de estas obligaciones en el encargado del tratamiento.Por otro lado, el encargado tiene la obligaci\u00f3n de poner a disposici\u00f3n del responsable toda la informaci\u00f3n necesaria que justifique que cumple con los requisitos exigidos por el RGPD. Tambi\u00e9n le proporcionar\u00e1 la informaci\u00f3n precisa para que el responsable o un tercero autorizado puedan realizar auditor\u00edas o inspecciones.En caso de subcontrataci\u00f3nEl encargado del tratamiento puede delegar sus funciones en una empresa externa mediante r\u00e9gimen de subcontrataci\u00f3n. En este caso, est\u00e1 obligado a cumplir una serie de requisitos, como es obtener una autorizaci\u00f3n previa. El subencargado deber\u00e1 cumplir con el tratamiento de datos seg\u00fan lo dispuesto por el responsable del tratamiento.Autorizaci\u00f3n generalPara que el encargado del tratamiento pueda subcontratar con un tercero la prestaci\u00f3n del servicio y el acceso a los datos por este, el RGPD exige autorizaci\u00f3n previa y por escrito del responsable. Este permiso puede ser general para cualquier entidad o espec\u00edfico, para una entidad concreta.Cuando la autorizaci\u00f3n sea general, el responsable deber\u00e1 ser informado por el encargado de la subcontrataci\u00f3n realizada o de la sustituci\u00f3n de un subencargado por otro para que aquel pueda oponerse a ello. En el contrato puede indicarse el plazo y la manera en que el responsable puede oponerse a la subcontrataci\u00f3n.El subencargado tambi\u00e9n debe someterse a las mismas obligaciones y medidas de seguridad respecto a la protecci\u00f3n de los datos personales a los que acceda que el encargado del tratamiento a trav\u00e9s de un acuerdo igual al realizado con este. Si el subencargado incumple sus obligaciones, la responsabilidad frente al responsable del tratamiento corresponde al encargado del tratamiento.Relaci\u00f3n entre el responsable y el encargado de TratamientoEl art\u00edculo 28.3\/a del RGPD define a la perfecci\u00f3n la relaci\u00f3n que debe existir entre el responsable y el encargado de tratamiento. Este art\u00edculo se\u00f1ala lo siguiente:El encargado tratar\u00e1 los datos personales \u00fanicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer pa\u00eds o una organizaci\u00f3n internacional.Asimismo, el mismo art\u00edculo se\u00f1ala que la relaci\u00f3n entre ambas figuras ha de estar regida por un contrato en el que se establezca el objeto, la duraci\u00f3n, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categor\u00edas de interesados, y las obligaciones y derechos del responsable.ContratoEl contrato de encargado de tratamiento es un documento o acto jur\u00eddico que vincula a responsable y encargado del tratamiento y regula las relaciones entre ambos respecto al tratamiento de los datos personales.Este contrato debe establecerse por escrito o en formato electr\u00f3nico.En el RGPD se establece tambi\u00e9n la posibilidad de que exista un acto jur\u00eddico unilateral del responsable del tratamiento que regule esta relaci\u00f3n y precise la posici\u00f3n del encargado del tratamiento.Este documento debe incluir un contenido m\u00ednimo recogido en el RGPD y del que hablar\u00e9 m\u00e1s adelante. Tambi\u00e9n puede estar basado en cl\u00e1usulas tipo establecidas por la Comisi\u00f3n europea o por la autoridad de control.El contrato de encargado del tratamiento debe incluir como m\u00ednimo:Servicio que el encargado va a prestarNaturaleza, finalidad y duraci\u00f3n del tratamientoClases de interesadosTipo de datos personales a los que se va a accederDerechos y obligaciones del responsable.Diferencias entre Responsable y Encargado de Tratamiento de DatosTerminamos el art\u00edculo remarcando las diferencias entre el responsable y encargado del tratamiento.El responsable es la persona f\u00edsica o jur\u00eddica, servicio u organismo que determina los fines y medios del tratamiento.Por su parte, el encargado se encarga del tratamiento de datos por cuenta del responsable.Dicho de otro modo, al encargado se le asigna la gesti\u00f3n de los datos personales seg\u00fan los requisitos y obligaciones establecidos previamente por el responsable, los cu\u00e1les se determinan a trav\u00e9s de la firma de un contrato entre ambos.Por ejemplo, una tienda online ejercer\u00e1 como responsable del tratamiento de datos de sus clientes. Pero tambi\u00e9n podr\u00eda contratar a una asesor\u00eda fiscal para tratar los datos de n\u00f3minas o facturas, con lo cual esa asesor\u00eda ejercer\u00eda como encargada del tratamiento de esos datos."},{"@context":"http:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/#breadcrumbitem","name":"Ayuda Ley Protecci\u00f3n Datos"}},{"@type":"ListItem","position":2,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/2019\/06\/28\/encargado-tratamiento\/#breadcrumbitem","name":"Encargado del tratamiento de datos"}}]}]