Articulo 87 Tratamiento de datos personales por instituciones, órganos y organismos de la Unión

1. Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y el acto jurídico por el que se establece el responsable del tratamiento y garantice la protección de los derechos del interesado.

2. El encargado del tratamiento no recurrirá a otro encargado sin la autorización previa por escrito, específica o general, del responsable del tratamiento. En el caso de autorización escrita general, el encargado informará al responsable de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al responsable la oportunidad de oponerse a dichos cambios.

3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o con arreglo al Derecho de un Estado miembro que vincule al encargado respecto del responsable y fije el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales operativos y las categorías de interesados, y las obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:

a) actúe únicamente siguiendo las instrucciones del responsable;

b) garantice que las personas autorizadas para tratar datos personales operativos se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación legal de confidencialidad;

c) asista al responsable por cualquier medio adecuado para garantizar el cumplimiento de las disposiciones sobre los derechos del interesado;

d) a elección del responsable, suprima o devuelva a este todos los datos personales operativos una vez finalice la prestación de los servicios de tratamiento, y suprima las copias existentes a menos que se requiera la conservación de los datos personales operativos en virtud del Derecho de la Unión o de un Estado miembro;

e) ponga a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo;

f) respete los requisitos exigidos en el apartado 2 y en el presente apartado para contratar a otro encargado del tratamiento;

4. El contrato u otro acto jurídico a que se refiere el apartado 3 se establecerá por escrito, inclusive en formato electrónico.

5. Si, al determinar los fines y medios del tratamiento, un encargado del tratamiento infringe el presente Reglamento o el acto jurídico por el que se establece el responsable del tratamiento, el encargado será considerado responsable del tratamiento con respecto a ese tratamiento.