Encargado del tratamiento de datos de carácter personal en el Reglamento general de protección de datos (RGPD) y en la LO 3/2018 de 5 de diciembre (LOPDGDD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 30/01/2019

El encargado del tratamiento es definido en el apartado 8 del artículo 4 del RGPD como "la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento".

Así, las funciones que desarrolla el encargado serán realizadas por cuenta del responsable, de forma que será el Responsable y no el Encargado el que tome las decisiones en relación con los elementos esenciales del tratamiento (fines y medios del tratamiento). Sin perjuicio de lo anteriormente señalado, en el caso de que el responsable del tratamiento de datos estuviera establecido fuera de la Unión, pero el encargado si se encontrase en el territorio europeo, el tratamiento de los datos deberá de llevarse a cabo de conformidad con lo dispuesto en el RGPD, con independencia de que el tratamiento tenga lugar en la Unión o no.

En relación con la persona que deberá desempeñar las funciones de encargado, el considerando 81 indica que el responsable debe recurrir únicamente a encargados que ofrezcan suficientes garantías, en particular en lo que respecta a conocimientos especializados, fiabilidad y recursos, de cara a la aplicación de medidas técnicas y organizativas que cumplan los requisitos del Reglamento, incluida la seguridad del tratamiento.

El Grupo de Trabajo del artículo 29 (GT29) señaló en su dictamen 1/2010 sobre los conceptos de "responsable del tratamiento" y "encargado de tratamiento", adoptado el 16 de febrero de 2010 (00264/10/ES - WP 169), que para estar ante un encargado "tienen que darse dos condiciones básicas: por una parte ser una entidad jurídica independiente del responsable del tratamiento y, por otra, realizar el tratamiento de datos personales por cuenta de éste". Además la existencia del encargado depende de la decisión adoptada por el responsable que podrá decidir que se traten por personal interno autorizado o bien "delegar todas o una parte de las actividades de tratamiento en una organización externa, es decir, en una persona jurídicamente distinta que actúa por su cuenta". Además se indica que "la definición del encargado del tratamiento abarca una amplia variedad de agentes que pueden desempeñar ese papel («persona física o jurídica, autoridad pública, servicio o cualquier otro organismo»)".

Nada impide que una misma organización sea, al mismo tiempo responsable del tratamiento de sus propios datos y encargada del tratamiento de datos de terceros. El ejemplo más habitual es el de una asesoría laboral que tendrá datos de sus propios empleados como responsable y tambien tratará datos de empleados de sus clientes como encargado, pues quien finalmente decidirá sobre esos datos será su cliente. En este sentido el GT29 indicó que "la función de encargado del tratamiento no se deriva de la naturaleza de un ente que trata datos, sino de sus actividades concretas en un contexto específico. En otras palabras, un mismo ente puede actuar a la vez como responsable del tratamiento para determinadas operaciones de tratamiento y como encargado del tratamiento para otras, y la condición de responsable o encargado debe evaluarse respecto de unos conjuntos muy determinados de datos u operaciones". Además se indica que "El elemento más importante es el que establece que el encargado del tratamiento actúa «por cuenta del responsable del tratamiento». Actuar en nombre de alguien significa servir los intereses de otro y remite al concepto legal de «delegación». En el caso de la normativa de protección de datos, el encargado del tratamiento está llamado a aplicar las instrucciones dadas por el responsable del tratamiento, cuando menos en lo relativo a los fines del tratamiento y a los elementos esenciales de los medios. Desde esta óptica, la legitimidad de la actividad de tratamiento del encargado del tratamiento de los datos viene determinada por el mandato conferido por el responsable del tratamiento. Un encargado del tratamiento que va más allá de su mandato y desempeña una función importante en la determinación de los fines o los medios esenciales del tratamiento actúa como responsable (conjuntamente con otros) más que como encargado del tratamiento. La cuestión de la legitimidad de este tratamiento se evaluará a la luz de otros artículos (6 a 8). Ahora bien, la delegación aún puede implicar un cierto grado de discrecionalidad sobre cómo servir mejor los intereses del responsable del tratamiento, permitiendo que el encargado del tratamiento elija los medios técnicos y de organización más adecuados".

Así, debemos destacar que el RGPD introduce un cambio respecto a la legislación anterior, ya que -hasta el momento- se exigía que el responsable actuase de forma diligente en la selección del encargado. Sin embargo, el artículo 28 del Reglamento aumenta la exigencia impuesta a los responsables en la medida en que dispone que estos habrán de elegir únicamente encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del Reglamento.

   Por lo que respecta a la LOPDGDD, básicamente se limita a transponer lo indicado en el Reglamento europeo, y hace mención a las obligaciones generales de este a la par que con las del propio responsable. Si bien, en el artículo 33 puntualiza algunas consideraciones tales como:

- el acceso por parte de un encargado a los datos personales que resulten necesarios para la prestación de un servicio al responsable no se considerará comunicación de datos siempre que se cumpla lo establecido en la normativa;

- tendrá la consideración de responsable del tratamiento, y no la de encargado, quien en su propio nombre y sin que conste que actúa por cuenta de otro, establezca relaciones con los afectados aun cuando exista un contrato de encargo de tratamiento. Esta previsión no será aplicable a los encargos de tratamiento efectuados en el marco de la legislación de contratación del sector público;

- tendrá asimismo la consideración de responsable del tratamiento quien figurando como encargado utilizase los datos para sus propias finalidades;

- el responsable determinará si, cuando finalice la prestación de los servicios del encargado, los datos personales deben ser destruidos, devueltos al responsable o entregados, en su caso, a un nuevo encargado. No procederá la destrucción de los datos cuando exista una previsión legal que obligue a su conservación, en cuyo caso deberán ser devueltos al responsable, que garantizará su conservación mientras tal obligación persista;

- aún asi, el encargado podrá conservar, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el responsable.

Con respecto a los representantes o encargados de tratamiento no establecidos en la Unión Europea, cuando el tratamiento se refiera a afectados que se hallen en España, la AEPD o, en su caso, las autoridades autonómicas de protección de datos, podrán imponer al representante, solidariamente con el responsable o encargado, las medidas del RGPD, sin perjuicio de la responsabilidad que pudiera en su caso corresponder al responsable o al encargado y del ejercicio por el representante de la acción de repetición frente a quien proceda. Asimismo, en caso de exigencia de responsabilidad en los términos previstos en el artículo 82 del RGPD (Derecho a indemnización y responsabilidad), los responsables, encargados y representantes responderán solidariamente de los daños y perjuicios causados. (art. 30 LOPDGDD)
 
   Recordemos que el RGPD establece la necesidad de que haya un contrato u otro acto jurídico vinculante que regule la relación entre el responsable y el encargado del tratamiento de datos. Dicho contrato debe constar por escrito a efectos de conservación de la prueba y ha de tener un contenido mínimo que establezca, en particular, que el encargado del tratamiento sólo actúa siguiendo instrucciones documentadas del responsable del tratamiento y contemple medidas técnicas y de organización para proteger adecuadamente los datos personales, además de establecer el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable. El contrato debe contener una descripción suficientemente detallada del mandato del encargado del tratamiento (véase artículo 28.3 del RGPD así como la guía de la AEPD sobre las Directrices para la elaboración de contratos entre responsables y encargados del tratamiento)
 
Además nada impide que un responsable del tratamiento externalice los tratamiento con varios encargados de tratamiento (pluralidad de encargados), pudiendo tener estos una relación directa con el responsable o bien ser meros subcontratistas en los que el encargado haya delegado parte de las actividades de tratamiento que le han sido enconmendadas. De cualquier modo, las obligaciones y responsabilidades deberán asignarse con claridad para evitar que no haya un control efectivo y una responsabilidad clara, recomendándose en todos los casos la firma de contratos en los que las responsabilidades de encargados o subencargados estén claramente definidas.
 
Finalmente, se debe tener en consideración que en caso de incumplimiento o infracción por parte del encargado, este quedará sujeto al régimen sancionador y por tanto a la imposición de multas administrativas en el caso de ser entidad privada (en el caso de las Administraciones Públicas se efectuaría una declaración de infracción).

No hay versiones para este comentario

Encargado del tratamiento
Responsable del tratamiento
Tratamiento de datos personales
Datos personales
Persona física
Mandato
Seguridad del tratamiento de datos
Protección de datos
Actividades de tratamiento de datos
Comunicación de datos
Daños y perjuicios
Derecho a indemnización
Acción de repetición
Acto jurídico
Multa administrativa
Subcontratista
Pertenece al Grupo

Incluídos en este concepto

Documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados