Una de las figuras clave dentro de la normativa de protección de datos es la del encargado de tratamiento. ¿Quién puede actuar como encargado de tratamiento de datos? ¿Qué obligaciones tiene? ¿Qué relación le une con el responsable del tratamiento? En este artículo te resumimos todo lo que dicen el RGPD y la LOPDGDD.
¿Qué es un encargado del tratamiento de datos personales?
Un encargado de tratamiento de datos es aquella persona física o jurídica, organismo o entidad pública, que presta un servicio al responsable del tratamiento y para ello necesita acceder a los datos personales que este maneja.
Existen muchos tipos de encargados del tratamiento, según la clase de servicios que supongan el acceso a datos personales. Por ejemplo, existen servicios que tienen como principal finalidad el tratamiento de datos, como las empresas que prestan servicios de alojamiento web. En otros servicios únicamente se tratan datos como consecuencia de las actuaciones realizadas por cuenta del responsable. Es el caso de la gestoría laboral que elabora las nóminas de empleados.
También existen supuestos donde puede resultar complicado diferenciar si nos encontramos ante un encargado o un responsable del tratamiento. Pero no debemos olvidar que el responsable es quien decide sobre los usos y fines de esos datos y el encargado es el que tiene que cumplir las directrices sobre el adecuado tratamiento de datos que le indica quien le encarga un determinado servicio.
Para fijar esas directrices que el encargado del tratamiento debe cumplir respecto a la protección de los datos personales a los que tiene acceso debe firmarse un contrato entre este y el responsable del tratamiento
El encargado del tratamiento de datos en la LOPD y RGPD
La figura del encargado del tratamiento en el RGPD se define en el artículo 28 de la normativa europea. En dicho artículo se establecen los requisitos que debe cumplir el encargado respecto a la protección de datos:
- El responsable elegirá a un encargado que pueda aplicar las medidas técnicas y organizativas necesarias para garantizar la seguridad e integridad de los datos.
- La adhesión del encargado a un mecanismo de certificación o código de conducta podrá ser usado como garantía de capacidad para el cumplimiento normativo.
- El encargado no podrá recurrir a un subencargado sin la autorización previa del responsable.
- La relación entre responsable y encargado se deberá regir por un contrato u otro acto jurídico vinculante.
- Si el encargado del tratamiento infringe la normativa al determinar los fines y medios del tratamiento, será considerado como responsable de dicho tratamiento.
Por su parte, la figura del encargado de tratamiento en la LOPD sigue las directrices planteadas por el RGPD, y tan solo añade y matiza algunos pequeños puntos. Por ejemplo, hace referencia a la potestad del encargado de tratamiento para guardar los datos debidamente bloqueados, siempre y cuando sean necesarios ante la reclamación de responsabilidades derivadas de su relación con el responsable.
¿Quién puede ser el encargado del tratamiento de datos personales?
El responsable puede elegir libremente el encargado del tratamiento, siempre y cuando ofrezca las adecuadas garantías de cumplimiento del RGPD, garantizando la protección de los datos a los que tenga acceso y los derechos de los afectados.
El responsable tiene, por tanto, un deber de diligencia a la hora de elegir al encargado del tratamiento.
El encargado puede demostrar que ofrece esas adecuadas garantías de cumplimiento del RGPD a través de mecanismos de certificación o incorporándose a códigos de conducta.
Obligaciones del encargado del tratamiento de datos
Para desarrollar su actividad de acuerdo a las directrices que marcan el RGPD y la LOPD, el encargado del tratamiento de datos personales ha de cumplir con una serie de obligaciones que vemos a continuación.
Obligaciones organizativas
Es necesario que el responsable de tratamiento fije claramente las instrucciones respecto a encargo efectuado, detallando de manera concreta qué tratamientos va a realizar el encargado sobre los datos, según el tipo de servicio que va a prestar. También deben especificarse claramente las cesiones de datos que el encargado va a realizar, por encargo del responsable o como consecuencia de la prestación del servicio.
En caso de que ese encargado del tratamiento realice transferencias internacionales de datos en la prestación del servicio debe someterse igualmente a las directrices establecidas por el responsable.
Cuando el encargado considere que alguna de las instrucciones dadas por el responsable es contraria a lo establecido en el RGPD debe comunicárselo inmediatamente a este.
Asimismo, tanto el encargado del tratamiento como todas aquellas personas que estén autorizadas a tratar los datos personales deben establecer su expreso compromiso a guardar secreto sobre esa información a la que tienen acceso.
Esta obligación de confidencialidad debe documentarse y ponerse a disposición del responsable del tratamiento.
En medidas de seguridad
El encargado debe aplicar todas las medidas de seguridad necesarias para cumplir los requisitos exigidos en el RGPD.
El responsable del tratamiento deberá realizar un análisis de riesgos para establecer las adecuadas medidas de seguridad que garanticen los derechos de los interesados y la protección de la información que va a tratar. Pero este análisis de riesgos debe realizarlo también el encargado del tratamiento para determinar los riesgos que puedan surgir del tratamiento realizado, teniendo en cuenta los medios usados y otras circunstancias de ese tratamiento.
Esas medidas de seguridad a aplicar pueden establecerse en una lista detallada o remitirse a un marco nacional o internacional o estándar reconocido.
Dentro de las medidas técnicas y organizativa a implantar según el riesgo existente serán:
- Cifrado y seudonimización de datos personales
- Garantía de la disponibilidad, integridad y confidencialidad de los servicios y sistemas de tratamiento
- Restauración rápida de la disponibilidad y el acceso a los datos en caso de producirse una brecha de seguridad
- Valorar y evaluar periódicamente la eficacia de esas medidas de seguridad para garantizar la protección de los datos
Es posible demostrar el cumplimiento de estos requisitos a través de la adhesión a códigos de conducta o mediante certificaciones.
Debe garantizarse que cualquier persona que tenga acceso a los datos personales cumpla las instrucciones facilitadas por el responsable del tratamiento.
De asistencia al responsable
Debe indicarse la manera en la que el encargado colaborará con el responsable para garantizar el cumplimiento de las obligaciones sobre:
- lmplantación de medidas de seguridad adecuadas
- Notificación de brechas de seguridad de los datos a la AEPD y a los interesados
- Realización de evaluaciones de impacto relativas a la protección de datos
- Realización de consultas previas
Es posible la delegación del cumplimiento de estas obligaciones en el encargado del tratamiento.
Por otro lado, el encargado tiene la obligación de poner a disposición del responsable toda la información necesaria que justifique que cumple con los requisitos exigidos por el RGPD. También le proporcionará la información precisa para que el responsable o un tercero autorizado puedan realizar auditorías o inspecciones.
En caso de subcontratación
El encargado del tratamiento puede delegar sus funciones en una empresa externa mediante régimen de subcontratación. En este caso, está obligado a cumplir una serie de requisitos, como es obtener una autorización previa. El subencargado deberá cumplir con el tratamiento de datos según lo dispuesto por el responsable del tratamiento.
Autorización general
Para que el encargado del tratamiento pueda subcontratar con un tercero la prestación del servicio y el acceso a los datos por este, el RGPD exige autorización previa y por escrito del responsable. Este permiso puede ser general para cualquier entidad o específico, para una entidad concreta.
Cuando la autorización sea general, el responsable deberá ser informado por el encargado de la subcontratación realizada o de la sustitución de un subencargado por otro para que aquel pueda oponerse a ello. En el contrato puede indicarse el plazo y la manera en que el responsable puede oponerse a la subcontratación.
El subencargado también debe someterse a las mismas obligaciones y medidas de seguridad respecto a la protección de los datos personales a los que acceda que el encargado del tratamiento a través de un acuerdo igual al realizado con este. Si el subencargado incumple sus obligaciones, la responsabilidad frente al responsable del tratamiento corresponde al encargado del tratamiento.
Relación entre el responsable y el encargado de Tratamiento
El artículo 28.3/a del RGPD define a la perfección la relación que debe existir entre el responsable y el encargado de tratamiento. Este artículo señala lo siguiente:
El encargado tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional.
Asimismo, el mismo artículo señala que la relación entre ambas figuras ha de estar regida por un contrato en el que se establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable.
Contrato
El contrato de encargado de tratamiento es un documento o acto jurídico que vincula a responsable y encargado del tratamiento y regula las relaciones entre ambos respecto al tratamiento de los datos personales.
Este contrato debe establecerse por escrito o en formato electrónico.
En el RGPD se establece también la posibilidad de que exista un acto jurídico unilateral del responsable del tratamiento que regule esta relación y precise la posición del encargado del tratamiento.
Este documento debe incluir un contenido mínimo recogido en el RGPD y del que hablaré más adelante. También puede estar basado en cláusulas tipo establecidas por la Comisión europea o por la autoridad de control.
El contrato de encargado del tratamiento debe incluir como mínimo:
- Servicio que el encargado va a prestar
- Naturaleza, finalidad y duración del tratamiento
- Clases de interesados
- Tipo de datos personales a los que se va a acceder
- Derechos y obligaciones del responsable.
Diferencias entre Responsable y Encargado de Tratamiento de Datos
Terminamos el artículo remarcando las diferencias entre el responsable y encargado del tratamiento.
El responsable es la persona física o jurídica, servicio u organismo que determina los fines y medios del tratamiento.
Por su parte, el encargado se encarga del tratamiento de datos por cuenta del responsable.
Dicho de otro modo, al encargado se le asigna la gestión de los datos personales según los requisitos y obligaciones establecidos previamente por el responsable, los cuáles se determinan a través de la firma de un contrato entre ambos.
Por ejemplo, una tienda online ejercerá como responsable del tratamiento de datos de sus clientes. Pero también podría contratar a una asesoría fiscal para tratar los datos de nóminas o facturas, con lo cual esa asesoría ejercería como encargada del tratamiento de esos datos.