Una de las obligaciones que establece el RGPD es que las empresas o profesionales responsables del tratamiento de datos personales firmen un contrato con sus encargados del tratamiento.
Pero, ¿sabes quiénes son los Encargados del tratamiento? ¿Cuál es la finalidad y el contenido de ese contrato?
No te preocupes, en este post tendrás respuesta a estas y otras muchas preguntas.
¿Quién es el Encargado del Tratamiento de datos personales?
Un Encargado del tratamiento es cualquier persona física, jurídica u organismo público que presta un servicio al responsable del tratamiento por el cual va a acceder a los datos personales que este maneja.
Por ejemplo, la empresa informática que nos realiza el mantenimiento de los equipos en la empresa. O la asesoría que elabora las nóminas de nuestros trabajadores. Es decir, nosotros somos los responsables del tratamiento de los datos personales que los clientes o empleados nos han facilitado y esa asesoría o empresa informática es el encargado del tratamiento.
Los tipos de Encargados del tratamiento pueden ser muy diversos dependiendo del acceso que tengan a los datos personales que tiene la empresa a la que van a prestar sus servicios.
Por eso, aunque parezca sencillo, muchas veces es difícil distinguir si estamos ante un Encargado o ante un responsable del tratamiento.
Un aspecto diferenciador entre ambos es que el responsable del tratamiento es quien decide sobre el uso de los datos personales y para qué se van a usar. El encargado del tratamiento únicamente debe cumplir las condiciones sobre cómo debe tratar esos datos establecidas por quien le contrata para prestar un determinado servicio.
¿Qué puede hacer el Encargado del tratamiento con los datos personales?
El Encargado puede efectuar todos aquellos tratamientos que el responsable le haya encargado. Dentro de esos tratamientos puede estar la recogida, almacenamiento, modificación, consulta, conservación o cesión de los datos personales.
En el contrato firmado con ese encargado deben especificarse claramente los tratamientos que se autorizan a realizar.
¿Qué decisiones puede tomar el Encargado del tratamiento?
Todas aquellas que sean necesarias para poder prestar el servicio que se le encomendó. Pero siempre respetando las órdenes dadas por el responsable del tratamiento.
No puede modificar la finalidad prevista sobre la utilización de esos datos ni usarlos para fines propios.
¿Qué debe tener en cuenta el responsable del tratamiento para elegir un encargado?
Lo principal que debe tener en cuenta el responsable del tratamiento a la hora de elegir un encargado del tratamiento es que este ofrezca las adecuadas garantías de protección de los datos personales a los que va a tener acceso.
Se le exige, por tanto, un deber de diligencia en esa elección de los encargados del tratamiento.
Ese encargado debe asegurar que aplica las medidas técnicas y organizativas adecuadas para proteger los derechos y libertades fundamentales de los titulares de los datos. Esto lo puede demostrar a través de su adhesión a códigos de conducta o si posee un certificado de protección de datos.
Contrato entre responsable y encargado del tratamiento
La relación entre el responsable y el encargado del tratamiento se regula a través de un contrato que vincule a ambos.
Ese contrato puede realizarse por escrito o en formato electrónico. Pero es obligatorio que se firme el mismo entre ambas partes.
El RGPD establece que ese contrato debe indicar la posición del encargado del tratamiento y puede fundamentarse en cláusulas tipo establecidas por la AEPD o por la Comisión europea.
Contenido mínimo
El contrato entre el responsable y el encargado del tratamiento debe contener como mínimo:
- Duración
- Objeto
- Finalidad y naturaleza del tratamiento
- Clases de interesados
- Tipo de datos personales
- Derechos y obligaciones del responsable
De manera específica, el contrato debe contener:
1. Instrucciones del responsable del tratamiento
En ese contrato se establecerán claramente las instrucciones respecto a ese servicio que el encargado del tratamiento va a prestar. Se especificarán cuáles son los datos a los que ese encargado necesita acceder y para qué los va a usar, según el servicio que va a realizar.
También se indicará si, como consecuencia del tratamiento realizado o por recomendación del responsable, se van a realizar comunicaciones de datos a terceros.
Igualmente se indicarán instrucciones en caso de que se vayan a realizar transferencias internacionales por parte del encargado del tratamiento. En todo caso, es obligatorio de que el encargado informe al responsable del tratamiento de si va a realizar esas transferencias internacionales de datos.
Esas instrucciones del contrato en ningún caso deben infringir lo establecido en el RGPD ya que, si el encargado considera que lo infringe, debe comunicárselo al responsable del tratamiento.
2. Deber de confidencialidad
Otra de las cuestiones que deben indicarse en el contrato es que el encargado del tratamiento debe garantizar la confidencialidad de los datos personales a los que tendrá acceso. El encargado debe guardar secreto de esos datos a los que accede para prestar el servicio encomendado y no revelarlos a terceros no autorizados.
3. Medidas de seguridad
Es obligatorio regular en el contrato la obligación del encargado del tratamiento de establecer las medidas de seguridad previstas en el RGPD.
El responsable del tratamiento debe realizar un análisis de riesgos de cada tratamiento realizado para establecer las medidas de seguridad adecuadas que garanticen la seguridad y privacidad de los titulares de esos datos personales.
Pero también el encargado del tratamiento debe analizar los riesgos asociados al tratamiento de los datos que vaya a realizar para, según los mecanismos usados, garantizar su seguridad.
En el contrato puede indicarse una lista específica de medidas de seguridad a implantar o puede remitirse a un estándar reconocido a nivel nacional o internacional.
Entre las principales medidas de seguridad a incluir en el contrato podemos destacar:
- Cifrado y anonimización de datos personales
- Garantía de la integridad, confidencialidad, disponibilidad y resiliencia de los medios de tratamiento.
- Medidas que garanticen la recuperación del acceso a los datos y la disponibilidad en caso de incidentes de seguridad.
- Mecanismos de comprobación, análisis y valoración de la efectividad de las medidas de seguridad adoptadas.
4. Subcontratación
Según el RGPD, para que el encargado del tratamiento pueda subcontratar la prestación del servicio con otro tercero, es necesaria la autorización del responsable del tratamiento.
Esa autorización del responsable puede ser general o específica (para un tercero concreto). En caso de que sea general, el encargado debe informarle en caso de que incorpore un nuevo subencargado o lo modifique.
En esa regulación de la subcontratación se indicará también el plazo y la manera en que el responsable puede oponerse a la misma.
Respecto al tratamiento de datos por el subencargado, este debe estar sometido a las mismas instrucciones previstas por el responsable para el encargado del tratamiento. Si el subencargado incumple las garantías previstas en el contrato, es el encargado del tratamiento el responsable de ese incumplimiento ante el responsable del tratamiento.
5. Derechos de los titulares de los datos
El encargado del tratamiento también tiene la obligación de atender las solicitudes de ejercicio de sus derechos por parte de los titulares de los datos personales. Por ello, en el contrato se establecerá la forma en que este encargado debe responder a esas solicitudes o comunicárselo al responsable.
Los derechos que les corresponden a los titulares sobre sus datos personales son:
- Acceso a esos datos
- Rectificación
- Cancelación
- Oposición
- Limitación del tratamiento
- Portabilidad
- Impedir que se tomen decisiones individuales automatizadas sobre sus datos.
Se especificará si debe ser el encargado del tratamiento el que responda a los interesados en esas solicitudes o solo se lo comunicará al responsable del tratamiento para que sea él quien responda.
Si se establece que sea el encargado quien responda a las solicitudes, se indicarán los plazos y la forma en que responderá a los interesados.
En caso de que solo debe comunicar al responsable el ejercicio de esos derechos, también se indicarán los plazos y la forma en la que debe comunicarlo.
6. Cooperar con el responsable en el cumplimiento de sus obligaciones
El contrato especificará la manera en la que el encargado colaborará con el responsable en el cumplimiento de las medidas de seguridad, en la realización de las correspondientes evaluaciones de impacto, la comunicación a los interesados y a la AEPD de las brechas de seguridad que se produzcan o en la realización de consultas previas.
7. Destino de los datos al finalizar la prestación del servicio
Una vez finalizada la prestación del servicio objeto del tratamiento, se indicará si el encargado debe eliminar esos datos personales o devolverlos, bien al responsable o a un tercero que este designe.
También se establecerá el plazo en el que el encargado debe eliminar o devolver esos datos y la forma.
En caso de que puedan derivarse responsabilidades de la prestación del servicio, el encargado del tratamiento puede conservar una copia de esos datos debidamente bloqueados.
8. Obligación de demostrar el cumplimiento al responsable
El encargado está obligado a facilitar al responsable del tratamiento toda la información que acredite que cumple con lo exigido en la normativa de Protección de datos. Y debe facilitar las inspecciones o auditorías realizadas por el responsable.
Preguntas frecuentes
¿El RGPD se aplica solo a encargados del tratamiento situados en territorio de la UE?
No, esta normativa se aplica a encargados de tratamiento que estén situados dentro de la UE y a los que se encuentren fuera de este territorio siempre que se refiera a datos personales de ciudadanos establecidos en la UE.
¿En caso de que el encargado esté situado o realice el tratamiento fuera de la UE, existe un régimen especial de contratación?
En ese caso, el contrato entre el responsable y el encargado del tratamiento se rige por las normas establecidas para las transferencias internacionales de datos.
En cualquier transferencia a un tercer país debe garantizarse el mismo nivel de protección de esos datos exigido por el RGPD. Y, si el país donde se van a transferir esos datos no garantiza un nivel adecuado de protección, el encargado del tratamiento debe garantizar las medidas de protección adecuadas y los derechos de los interesados.
Si contrato un DPD externo, ¿se considera encargado del tratamiento?
Si, el DPD debe acceder a los datos personales para ejercer sus funciones por lo que, según el RGPD, se considera encargado del tratamiento. Por tanto, debe firmarse en correspondiente contrato con el mismo.
¿Debo informar a los clientes de la contratación de un encargado del tratamiento?
No es obligatorio, según el RGPD, que informemos a los cliente de la contratación de un encargado del tratamiento. Pero es aconsejable realizarlo para garantizar una mayor transparencia en el tratamiento de los datos personales.