Inicio
Temas
Encargado del tratamiento de datos de carácter personal en el RGPD y en la LOPDGDD
Inicio
Temas
Encargado del tratamiento...la LOPDGDD
Ver Indice
»

Última revisión
11/09/2023

Encargado del tratamiento de datos de carácter personal en el RGPD y en la LOPDGDD

Tiempo de lectura: 25 min

Tiempo de lectura: 25 min

Relacionados:

Orden: administrativo

Fecha última revisión: 11/09/2023

El encargado del tratamiento es definido en el apartado 8 del artículo 4 del RGPD como «la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento».

Concepto de encargado del tratamiento de datos

Artículo 4. 8) del RGPD

«(...) "encargado del tratamiento" o "encargado": la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento».

Ahora bien, son varios los considerandos del RGPD que se refieren a esta figura, entre otros, podemos relacionar los siguientes:

a) Considerando 22 del RGPD:

«Todo tratamiento de datos personales en el contexto de las actividades de un establecimiento de un responsable o un encargado del tratamiento en la Unión debe llevarse a cabo de conformidad con el presente Reglamento, independientemente de que el tratamiento tenga lugar en la Unión. Un establecimiento implica el ejercicio de manera efectiva y real de una actividad a través de modalidades estables. La forma jurídica que revistan tales modalidades, ya sea una sucursal o una filial con personalidad jurídica, no es el factor determinante al respecto».

b) Considerando 77 del RGPD:

«Se podrían proporcionar directrices para la aplicación de medidas oportunas y para demostrar el cumplimiento por parte del responsable o del encargado del tratamiento, especialmente con respecto a la identificación del riesgo relacionado con el tratamiento, a su evaluación en términos de origen, naturaleza, probabilidad y gravedad y a la identificación de buenas prácticas para mitigar el riesgo, que revistan, en particular, la forma de códigos de conducta aprobados, certificaciones aprobadas, directrices dadas por el Comité o indicaciones proporcionadas por un delegado de protección de datos. El Comité también puede emitir directrices sobre operaciones de tratamiento que se considere improbable supongan un alto riesgo para los derechos y libertades de las personas físicas, e indicar qué medidas pueden ser suficientes en dichos casos para afrontar el riesgo en cuestión».

c) Considerando 108 del RGPD:

«En ausencia de una decisión por la que se constate la adecuación de la protección de los datos, el responsable o el encargado del tratamiento deben tomar medidas para compensar la falta de protección de datos en un tercer país mediante garantías adecuadas para el interesado. Tales garantías adecuadas pueden consistir en el recurso a normas corporativas vinculantes, a cláusulas tipo de protección de datos adoptadas por la Comisión o por una autoridad de control, o a cláusulas contractuales autorizadas por una autoridad de control».

d) Considerando 109 del RGPD:

«La posibilidad de que el responsable o el encargado del tratamiento recurran a cláusulas tipo de protección de datos adoptadas por la Comisión o una autoridad de control no debe obstar a que los responsables o encargados incluyan las cláusulas tipo de protección de datos en un contrato más amplio, como un contrato entre dos encargados, o a que añadan otras cláusulas o garantías adicionales, siempre que no contradigan, directa o indirectamente, las cláusulas contractuales tipo adoptadas por la Comisión o por una autoridad de control, ni mermen los derechos o las libertades fundamentales de los interesados. Se debe alentar a los responsables y encargados del tratamiento a ofrecer garantías adicionales mediante compromisos contractuales que complementen las cláusulas tipo de protección de datos».

e) Considerando 114 del RGPD:

«En cualquier caso, cuando la Comisión no haya tomado ninguna decisión sobre el nivel adecuado de la protección de datos en un tercer país, el responsable o el encargado del tratamiento deben arbitrar soluciones que garanticen a los interesados derechos exigibles y efectivos con respecto al tratamiento de sus datos en la Unión, una vez transferidos estos, de forma que sigan beneficiándose de derechos fundamentales y garantías».

f) Considerando 115 del RGPD:

«Algunos países terceros adoptan leyes, reglamentaciones y otros actos jurídicos con los que se pretende regular directamente las actividades de tratamiento de personas físicas y jurídicas bajo jurisdicción de los Estados miembros. Esto puede incluir sentencias de órganos jurisdiccionales o decisiones de autoridades administrativas de terceros países que obliguen a un responsable o un encargado del tratamiento a transferir o comunicar datos personales, y que no se basen en un acuerdo internacional, como un tratado de asistencia judicial mutua, en vigor entre el tercer país requirente y la Unión o un Estado miembro. La aplicación extraterritorial de dichas leyes, reglamentaciones y otros actos jurídicos puede ser contraria al Derecho internacional e impedir la protección de las personas físicas garantizada en la Unión en virtud del presente Reglamento. Las transferencias solo deben autorizarse cuando se cumplan las condiciones del presente Reglamento relativas a las transferencias a terceros países. Tal puede ser el caso, entre otros, cuando la comunicación sea necesaria por una razón importante de interés público reconocida por el Derecho de la Unión o de los Estados miembros aplicable al responsable del tratamiento».

g) Considerando 127 del RGPD:

«Cada autoridad de control que no actúa como autoridad principal debe ser competente para tratar asuntos locales en los que, si bien el responsable o el encargado del tratamiento está establecido en más de un Estado miembro, el objeto del tratamiento específico se refiere exclusivamente al tratamiento efectuado en un único Estado miembro y afecta exclusivamente a interesados de ese único Estado miembro, por ejemplo cuando el tratamiento tiene como objeto datos personales de empleados en el contexto específico de empleo de un Estado miembro».

CUESTIONES

1. ¿Quién puede ser considerado tercero en el ámbito del tratamiento de datos?

El tercero es toda «persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado» [artículo 4.10) del RGPD].

2. ¿Quién puede ser considerado representante del encargado del tratamiento?

El representante del responsable o del encargado del tratamiento es la «persona física o jurídica establecida en la Unión que, habiendo sido designada por escrito por el responsable o el encargado del tratamiento con arreglo al artículo 27, represente al responsable o al encargado en lo que respecta a sus respectivas obligaciones en virtud del presente Reglamento» [artículo 4.17) del RGPD].

3. ¿Qué son las normas corporativas vinculantes?

Las normas corporativas vinculantes consisten en «las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta» (artículo 4.20 del RGPD).

4. ¿Cuál es la autoridad de control interesada en el tratamiento de datos?

La autoridad de control afectada por el tratamiento de datos personales, dado que «a) el responsable o el encargado del tratamiento está establecido en el territorio del Estado miembro de esa autoridad de control» [artículo 4.22.a) del RGPD].

Asimismo, en relación con los poderes de las autoridades de control para conseguir del responsable o del encargado del tratamiento acceso a los datos personales, y a sus locales:

- El considerando 164 del RGPD establece: «(...) los Estados miembros pueden adoptar por ley, dentro de los límites fijados por el presente Reglamento, normas específicas con vistas a salvaguardar el deber de secreto profesional u obligaciones equivalentes, en la medida necesaria para conciliar el derecho a la protección de los datos personales con el deber de secreto profesional. Lo anterior se entiende sin perjuicio de las obligaciones existentes para los Estados miembros de adoptar normas sobre el secreto profesional cuando así lo exija el Derecho de la Unión». 

-Atendiendo al considerando 126 del RGPD, el encargado del tratamiento tiene que tomar las medidas necesarias para garantizar el cumplimiento del RGPD y «(...) la aplicación de la decisión notificada por la autoridad de control principal al establecimiento principal del responsable o del encargado en lo que se refiere a las actividades de tratamiento en la Unión».

5. ¿Qué artículos del RGPD se refieren al encargado del tratamiento?

Dentro del RGPD, se hace referencia al encargado de tratamiento en los siguientes artículos:

- Limitaciones (artículo 23 del RGPD).

- Representantes de responsables o encargados del tratamiento no establecidos en la Unión (artículo 27 del RGPD).

- Encargado del tratamiento (artículo 28 del RGPD).

- Tratamiento bajo la autoridad del responsable o del encargado del tratamiento (artículo 29 del RGPD).

- Registro de las actividades de tratamiento (artículo 30 del RGPD).

- Cooperación con la autoridad de control (artículo 31 del RGPD).

- Seguridad del tratamiento (artículo 32 del RGPD).

- Notificación de una violación de la seguridad de los datos personales a la autoridad de control (artículo 33 del RGPD).

- Designación del delegado de protección de datos (artículo 37 del RGPD).

- Posición del delegado de protección de datos (artículo 38 del RGPD).

- Funciones del delegado de protección de datos (artículo 39 del RGPD).

- Supervisión de códigos de conducta aprobados (artículo 41 del RGPD).

- Certificación (artículo 42 del RGPD).

- Organismos de certificación (artículo 43 del RGPD).

- Principio general de las transferencias (artículo 44 del RGPD).

- Transferencias mediante garantías adecuadas (artículo 46 del RGPD).

- Normas corporativas vinculantes (artículo 47 del RGPD).

- Transferencias o comunicaciones no autorizadas por el derecho de la Unión (artículo 48 del RGPD).

- Excepciones para situaciones específicas (artículo 49 del RGPD).

- Competencia de la autoridad de la autoridad de control principal (artículo 56 del RGPD).

- Poderes (artículo 58 del RGPD).

- Cooperación entre la autoridad de control principal y las demás autoridades de control interesadas (artículo 60 del RGPD).

- Operaciones conjuntas de las autoridades de control (artículo 62 del RGPD).

- Resolución de conflictos por el Comité (artículo 65 del RGPD).

- Funciones del Comité (artículo 70 del RGPD).

- Derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento (artículo 79 del RGPD).

- Derecho a indemnización y responsable (artículo 82 del RGPD).

- Condiciones generales para la imposición de multas administrativas (artículo 83 del RGPD).

- Tratamiento y libertad de expresión de información (artículo 85 del RGPD).

- Obligaciones de secreto (artículo 90 del RGPD).

6. ¿En qué casos debe el responsable o el encargado del tratamiento indemnizar los daños y perjuicios consecuencia del tratamiento?

El responsable o el encargado del tratamiento tiene que indemnizar cualquier daño o perjuicio que pueda padecer una persona a consecuencia de un tratamiento que infringe lo estipulado en el RGPD, si bien, conforme al considerando 146 del RGPD, «El responsable o el encargado deben quedar exentos de responsabilidad si se demuestra que en modo alguno son responsables de los daños y perjuicios. El concepto de daños y perjuicios debe interpretarse en sentido amplio a la luz de la jurisprudencia del Tribunal de Justicia, de tal modo que se respeten plenamente los objetivos del presente Reglamento. Lo anterior se entiende sin perjuicio de cualquier reclamación por daños y perjuicios derivada de la vulneración de otras normas del Derecho de la Unión o de los Estados miembros. Un tratamiento en infracción del presente Reglamento también incluye aquel tratamiento que infringe actos delegados y de ejecución adoptados de conformidad con el presente Reglamento y el Derecho de los Estados miembros que especifique las normas del presente Reglamento». 

7. ¿Dónde debe situarse el establecimiento principal del encargado del tratamiento?

El establecimiento principal del encargado del tratamiento será «(...) el lugar de su administración central en la Unión o, si careciese de administración central en la Unión, el lugar en el que se llevan a cabo las principales actividades de tratamiento en la Unión» (considerando 36 del RGPD).

8. ¿En qué funciones debe asistir el encargado del tratamiento al responsable del mismo?

El considerando 95 del RGPD dispone que «el encargado del tratamiento debe asistir al responsable cuando sea necesario y a petición suya, a fin de asegurar que se cumplen las obligaciones que se derivan de la realización de las evaluaciones de impacto relativas a la protección de datos y de la consulta previa a la autoridad de control».

A TENER EN CUENTA. En los supuestos en que el RGPD contiene normas específicas sobre competencia judicial, en particular por lo que respecta a las acciones que tratan de obtener satisfacción por la vía judicial, incluida la indemnización, contra un responsable o encargado del tratamiento, las normas generales de competencia judicial como las establecidas en el Reglamento (UE) n.º 1215/2012 del Parlamento Europeo y del Consejo deben entenderse sin perjuicio de la aplicación de dichas normas específicas (considerando 147 del RGPD).

Obligaciones generales del encargado del tratamiento de datos

Obligaciones del encargado del tratamiento de datos en la LOPDGDD

Artículo 33 de la LOPDGDD

«1. El acceso por parte de un encargado de tratamiento a los datos personales que resulten necesarios para la prestación de un servicio al responsable no se considerará comunicación de datos siempre que se cumpla lo establecido en el Reglamento (UE) 2016/679, en la presente ley orgánica y en sus normas de desarrollo.

2. Tendrá la consideración de responsable del tratamiento y no la de encargado quien en su propio nombre y sin que conste que actúa por cuenta de otro, establezca relaciones con los afectados aun cuando exista un contrato o acto jurídico con el contenido fijado en el artículo 28.3 del Reglamento (UE) 2016/679. Esta previsión no será aplicable a los encargos de tratamiento efectuados en el marco de la legislación de contratación del sector público.

Tendrá asimismo la consideración de responsable del tratamiento quien figurando como encargado utilizase los datos para sus propias finalidades.

3. El responsable del tratamiento determinará si, cuando finalice la prestación de los servicios del encargado, los datos personales deben ser destruidos, devueltos al responsable o entregados, en su caso, a un nuevo encargado.

No procederá la destrucción de los datos cuando exista una previsión legal que obligue a su conservación, en cuyo caso deberán ser devueltos al responsable, que garantizará su conservación mientras tal obligación persista.

4. El encargado del tratamiento podrá conservar, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el responsable del tratamiento.

5. En el ámbito del sector público podrán atribuirse las competencias propias de un encargado del tratamiento a un determinado órgano de la Administración General del Estado, la Administración de las comunidades autónomas, las Entidades que integran la Administración Local o a los Organismos vinculados o dependientes de las mismas mediante la adopción de una norma reguladora de dichas competencias, que deberá incorporar el contenido exigido por el artículo 28.3 del Reglamento (UE) 2016/679».

En suma, el acceso del encargado del tratamiento a datos personales necesarios para la prestación de un servicio al responsable no se estimará comunicación de datos siempre y cuando cumpla lo dispuesto en las siguientes normas:

  • RGPD.
  • LOPDGDD.
  • Normas de desarrollo.

Además, el responsable del tratamiento establecerá, cuando termine la prestación de los servicios del encargado, los datos personales que tienen que ser:

  • Destruidos.
  • Devueltos al responsable del tratamiento.
  • Entregados a un nuevo encargado del tratamiento.

CUESTIONES

1. ¿Quién tendrá la consideración de responsable del tratamiento?

Según lo dispuesto en el apartado segundo del artículo 33 de la LOPDGDD, tendrá la consideración del responsable del tratamiento «(...) quien en su propio nombre y sin que conste que actúa por cuenta de otro, establezca relaciones con los afectados aun cuando exista un contrato o acto jurídico con el contenido fijado en el artículo 28.3 del Reglamento (UE) 2016/679. Esta previsión no será aplicable a los encargos de tratamiento efectuados en el marco de la legislación de contratación del sector público».

A su vez, atendiendo al segundo párrafo del mencionado apartado, también tendrá consideración de responsable de tratamiento «(...) quien figurando como encargado utilizase los datos para sus propias finalidades».

2. ¿Tendrá que conservar el encargado del tratamiento los datos de los que pudieran derivarse responsabilidades?

El encargado del tratamiento de datos tendrá la posibilidad de conservar los datos, debidamente bloqueados, mientras pueda generarse responsabilidades vinculadas a su relación con el responsable del tratamiento (artículo. 33.4 de la LOPDGDD).

A TENER EN CUENTA. En el ámbito del sector público podrán atribuirse las competencias propias de un encargado del tratamiento a un determinado órgano de la Administración General del Estado, la Administración de las comunidades autónomas, las entidades que integran la Administración local o a los organismos vinculados o dependientes de las mismas mediante la adopción de una norma reguladora de dichas competencias, que deberá incorporar el contenido exigido por el artículo 28.3 del RGPD (artículo 33.5 de la LOPDGDD).

Obligaciones del encargado del tratamiento de datos en el RGPD

Artículo 28 del RGPD

«1. Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.

2. El encargado del tratamiento no recurrirá a otro encargado sin la autorización previa por escrito, específica o general, del responsable. En este último caso, el encargado informará al responsable de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al responsable la oportunidad de oponerse a dichos cambios.

3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:

a) tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado; en tal caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público;

b) garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza legal;

c) tomará todas las medidas necesarias de conformidad con el artículo 32;

d) respetará las condiciones indicadas en los apartados 2 y 4 para recurrir a otro encargado del tratamiento;

e) asistirá al responsable, teniendo en cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el capítulo III;

f) ayudará al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado;

g) a elección del responsable, suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros;

h) pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.

En relación con lo dispuesto en la letra h) del párrafo primero, el encargado informará inmediatamente al responsable si, en su opinión, una instrucción infringe el presente Reglamento u otras disposiciones en materia de protección de datos de la Unión o de los Estados miembros.

4. Cuando un encargado del tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del responsable, se impondrán a este otro encargado, mediante contrato u otro acto jurídico establecido con arreglo al Derecho de la Unión o de los Estados miembros, las mismas obligaciones de protección de datos que las estipuladas en el contrato u otro acto jurídico entre el responsable y el encargado a que se refiere el apartado 3, en particular la prestación de garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conforme con las disposiciones del presente Reglamento. Si ese otro encargado incumple sus obligaciones de protección de datos, el encargado inicial seguirá siendo plenamente responsable ante el responsable del tratamiento por lo que respecta al cumplimiento de las obligaciones del otro encargado.

5. La adhesión del encargado del tratamiento a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá utilizarse como elemento para demostrar la existencia de las garantías suficientes a que se refieren los apartados 1 y 4 del presente artículo.

6. Sin perjuicio de que el responsable y el encargado del tratamiento celebren un contrato individual, el contrato u otro acto jurídico a que se refieren los apartados 3 y 4 del presente artículo podrá basarse, total o parcialmente, en las cláusulas contractuales tipo a que se refieren los apartados 7 y 8 del presente artículo, inclusive cuando formen parte de una certificación concedida al responsable o encargado de conformidad con los artículos 42 y 43.

7. La Comisión podrá fijar cláusulas contractuales tipo para los asuntos a que se refieren los apartados 3 y 4 del presente artículo, de acuerdo con el procedimiento de examen a que se refiere el artículo 93, apartado 2.

8. Una autoridad de control podrá adoptar cláusulas contractuales tipo para los asuntos a que se refieren los apartados 3 y 4 del presente artículo, de acuerdo con el mecanismo de coherencia a que se refiere el artículo 63.

9. El contrato u otro acto jurídico a que se refieren los apartados 3 y 4 constará por escrito, inclusive en formato electrónico.

10. Sin perjuicio de lo dispuesto en los artículos 82, 83 y 84, si un encargado del tratamiento infringe el presente Reglamento al determinar los fines y medios del tratamiento, será considerado responsable del tratamiento con respecto a dicho tratamiento».

Es decir, el responsable del tratamiento de datos elegirá un encargado que preste garantías suficientes para aplicar las medidas (técnicas y organizativas) adecuadas, de modo que aquel sea conforme con el RGPD y asegure la protección de los derechos del interesado.

Si bien, el tratamiento por el encargado se guiará por un contrato u otro instrumento jurídico de acuerdo con el derecho de la Unión Europea o de los Estados miembros, que relacione al encargado respecto del responsable del mismo, y fije los siguientes elementos:

  • El objeto del tratamiento.
  • La duración del tratamiento.
  • La naturaleza y la finalidad del tratamiento.
  • El tipo de datos personales y categorías de interesados.
  • Las obligaciones y derechos del responsable.

En concreto, el citado contrato u acto jurídico determinará, que el encargado del tratamiento de datos:

a) Tratará los datos personales siguiendo instrucciones documentadas del responsable del tratamiento de datos.

b) Garantizará el compromiso de confidencialidad o la obligación de confidencialidad de origen legal de las personas autorizadas para tratar datos personales.

c) Adoptará las medidas necesarias de conformidad con el artículo 32 del RGPD.

d) Respetará las condiciones indicadas en los apartados 2 y 4 del artículo 28 del RGPD para recurrir a otro encargado del tratamiento.

e) Asistirá al responsable del tratamiento.

f) Ayudará  al responsable del tratamiento a garantizar el cumplimiento de las obligaciones reguladas en los artículos 32 a 36 del RGPD, teniendo en cuenta:

- La naturaleza del tratamiento.

- La información a disposición del encargado.

g) Suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud del derecho de la Unión o de los Estados miembros, a elección del responsable del tratamiento.

h) Comunicará al responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 del RGPD (auditorías, inspecciones...). 

En relación con lo dispuesto, el encargado del tratamiento informará inmediatamente al responsable si, en su opinión, una instrucción vulnera el RGPD u otras disposiciones en materia de protección de datos de la Unión Europea o de los Estados miembros.

De igual modo el considerando 81 del RGPD declara que «el tratamiento por un encargado debe regirse por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros que vincule al encargado con el responsable, que fije el objeto y la duración del tratamiento, la naturaleza y fines del tratamiento, el tipo de datos personales y las categorías de interesados, habida cuenta de las funciones y responsabilidades específicas del encargado en el contexto del tratamiento que ha de llevarse a cabo y del riesgo para los derechos y libertades del interesado. El responsable y el encargado pueden optar por basarse en un contrato individual o en cláusulas contractuales tipo que adopte directamente la Comisión o que primero adopte una autoridad de control de conformidad con el mecanismo de coherencia y posteriormente la Comisión. Una vez finalizado el tratamiento por cuenta del responsable, el encargado debe, a elección de aquel, devolver o suprimir los datos personales, salvo que el Derecho de la Unión o de los Estados miembros aplicable al encargado del tratamiento obligue a conservar los datos».

A TENER EN CUENTA. Cuando un encargado del tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del responsable, se impondrán a este otro encargado, mediante contrato u otro acto jurídico establecido con arreglo al derecho de la Unión o de los Estados miembros, las mismas obligaciones de protección de datos que las estipuladas en el contrato u otro acto jurídico entre el responsable y el encargado a que se refiere el apartado 3 del artículo 28 del RGPD, en particular la prestación de garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conforme con las disposiciones del RGPD. Si ese otro encargado incumple sus obligaciones de protección de datos, el encargado inicial seguirá siendo plenamente responsable ante el responsable del tratamiento por lo que respecta al cumplimiento de las obligaciones del otro encargado (artículo 28.4 del RGPD).

CUESTIONES

1. ¿Podrá el encargado del tratamiento recurrir a otro encargado?

Tal y como dispone el apartado segundo del artículo 28 del RGPD, el encargado del tratamiento no podrá recurrir a otro encargado «(...) sin la autorización previa por escrito, específica o general, del responsable. En este último caso, el encargado informará al responsable de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al responsable la oportunidad de oponerse a dichos cambios».

2. ¿En qué asuntos podrán las autoridades de control establecer cláusulas contractuales?

Según lo dispuesto en el apartado 8 del artículo 28 del RGPD, una autoridad de control podrá configurar cláusulas contractuales tipo para los asuntos referidos en los apartados 3 y 4 del artículo 28, de conformidad con el mecanismo de coherencia del artículo 63 del mismo texto legal.

3. ¿Constará por escrito el contrato a que se refieren los apartados 3 y 4 del artículo 28 del RGPD?

Sí, el contrato u acto jurídico referido en los apartados 3 y 4 del artículo 28 del RGPD «constará por escrito, inclusive en formato electrónico» (artículo 28.7 del RGPD).

4. ¿Qué sucederá si el encargado del tratamiento infringe el RGPD al establecer los fines y medios del tratamiento de datos?

Sin perjuicio de lo establecido en los artículos 82, 83 y 84 del RGPD, si el encargado del tratamiento infringe el RGPD al determinar los fines y medios del tratamiento de datos se considerará responsable del tratamiento en relación con el mismo (artículo 28.10 del RGPD).

5. ¿Cómo se podrán demostrar las garantías referidas en el apartado 1 y 4 del artículo 28 del RGPD?

Partiendo de lo establecido en el artículo 28.5 del RGPD, podrá utilizarse como elemento para demostrar las garantías de los apartados 1 y 4 del artículo 28 del RGPD, la adhesión por parte del encargado del tratamiento a:

- Un código de conducta aprobado en virtud del art. 40 del RGPD.

- Un mecanismo de certificación aprobado en virtud del art. 42 del RGPD

6. ¿Podrá la Comisión fijar cláusulas contractuales tipo para los asuntos referidos en los apartados 3 y 4 del artículo 28 del RGPD?

Sí, la Comisión podrá establecer cláusulas contractuales tipo para los citados asuntos conforme al procedimiento de examen del artículo 93.2 del RGPD (artículo 28.7 del RGPD).

7. ¿Deberá el encargado del tratamiento tratar los datos siguiendo las instrucciones del responsable del tratamiento?

Sí, según lo dispuesto en el artículo 29 del RGPD, el encargado del tratamiento de datos «(...) y cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo podrán tratar dichos datos siguiendo instrucciones del responsable, a no ser que estén obligados a ello en virtud del Derecho de la Unión o de los Estados miembros».

8. ¿Debe contar el encargado del tratamiento con la ayuda de algún profesional con conocimientos jurídicos?

El considerando 97 del RGPD declara que, al controlar la observancia interna del RGPD, «(...) el responsable o el encargado del tratamiento debe contar con la ayuda de una persona con conocimientos especializados del Derecho y la práctica en materia de protección de datos si el tratamiento lo realiza una autoridad pública, a excepción de los tribunales u otras autoridades judiciales independientes en el ejercicio de su función judicial, si el tratamiento lo realiza en el sector privado un responsable cuyas actividades principales consisten en operaciones de tratamiento a gran escala que requieren un seguimiento habitual y sistemático de los interesados, o si las actividades principales del responsable o del encargado consisten en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales».

A TENER EN CUENTA. Sin perjuicio de que el responsable y el encargado del tratamiento celebren un contrato individual, el contrato u otro acto jurídico a que se refieren los apartados 3 y 4 del artículo 28 del RGPD podrá basarse, total o parcialmente, en las cláusulas contractuales tipo a que se refieren los apartados 7 y 8 del RGPD, inclusive cuando formen parte de una certificación concedida al responsable o encargado de conformidad con los artículos 42 y 43 del mismo texto legal (artículo 28.6 del RGPD).

LIBROS Y CURSOS RELACIONADOS

Tratado de protección de datos personales
Disponible

Tratado de protección de datos personales

José Luis Domínguez Álvarez

29.75€

28.26€

+ Información

Vademecum | PROTECCIÓN DE DATOS (DESCATALOGADO)
Disponible

Vademecum | PROTECCIÓN DE DATOS (DESCATALOGADO)

Editorial Colex, S.L.

55.00€

16.50€

+ Información

Protección de datos en comunidades de propietarios. Paso a paso (DESCATALOGADO)
Disponible

Protección de datos en comunidades de propietarios. Paso a paso (DESCATALOGADO)

Dpto. Documentación Iberley

12.75€

6.38€

+ Información

Los secretos empresariales en el marco de la Ley
Disponible

Los secretos empresariales en el marco de la Ley

Dpto. Documentación Iberley

6.83€

6.49€

+ Información

Reglamento General de Protección de Datos (RGPD)
Disponible

Reglamento General de Protección de Datos (RGPD)

Editorial Colex, S.L.

3.65€

3.47€

+ Información