Obligaciones específicas de los encargados del tratamiento de datos de carácter personal en el Reglamento general de protección de datos (RGPD) y en la LO 3/2018 (LOPDGDD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 30/01/2019

El RGPD impone de forma expresa determinadas obligaciones a los encargados del tratamiento de datos de carácter personal (arts. 32, 37 y 40 RGPD). Por su parte la LOPDGDD establece tambien una serie de obligaciones (art. 28, 31 y 34 LOPDGDD).

 

Como se ha señalado anteriormente, el Reglamento establece una definición de lo que debe entenderse por "encargado del tratamiento", sin embargo pudiera suceder que en la práctica no resulte fácil delimitar esta figura de la del responsable. Pues bien, al objeto de realizar esa distinción, será necesario determinar quién decide sobre la finalidad del tratamiento y los usos que se realicen de la información, por cuanto este será el responsable. En cambio, el encargado del tratamiento debe de llevar a efecto las instrucciones que reciba de quien le encomienda un determinado servicio al objeto de realizar un adecuado tratamiento de los datos a los que tenga acceso.

Con respecto a las concretas obligaciones de los encargados debemos señalar que -contrariamente a lo que sucedía en la Directiva derogada y en la legislación nacional en la materia- el RGPD impone de forma expresa determinadas obligaciones a los encargados.

En consecuencia, los encargados deben asumir el cumplimiento de las obligaciones que establece el RGPD, de forma que aquellas ya no se circunscriben única y exclusivamente a los términos del contrato suscrito con el responsable, sino que se configuran como obligaciones propias, y por tanto independientes a las que -en su caso- puedan asumir contractualmente.

Estas obligaciones específicas podrán ser supervisadas por las autoridades de protección de datos, sin perjuicio de la fiscalización que puedan realizar en relación con el cumplimiento del Reglamento o de la LOPDGDD por parte del responsable del tratamiento. Así, son obligaciones del encargado:

- La suscripción un contrato u acto jurídico con el responsable (artículo 28 RGPD) que constará por escrito, inclusive en formato electrónico. Este contrato deberá establecer el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable. En particular estipulará que el encargado:

- tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional;

- garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria;

- tomará todas las medidas necesarias;

- asistirá al responsable, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados;

- ayudará al responsable a garantizar el cumplimiento de las obligaciones;

- a elección del responsable, suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales y

- pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.

- Deben mantener un registro de actividades de tratamiento (artículo 30 RGPD) que constará por escrito, inclusive en formato electrónico, que contenga: el nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del delegado de protección de datos; las categorías de tratamientos efectuados por cuenta de cada responsable; en su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas; y cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad. De cualquier modo, téngase en cuenta que este registro de actividades solo será exigible cuando se emplee a más de 250 personas o el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales o datos personales relativos a condenas e infracciones penales.

Las Administraciones Públicas deberán publicar a través de medios electrónicos dicho Registro de actividades (art. 77.1 LOPDGDD).

- Deben cooperar con la autoridad de control (artículo 31 RGPD), facilitando la información que esta le solicite y cumpliendo lo que esta ordene en el desempeño de sus funciones.

- Deben determinar las medidas de seguridad aplicables a los tratamientos que lleven a cabo (artículo 32, RGPD), teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, para garantizar un nivel de seguridad adecuado al riesgo. Además se tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros. Ademásm el encargado podrá conservar los datos, aunque bloqueados, para el caso de que pudieran derivarse responsabilidades de su relación con el responsable (art. 33.4 LOPDGDD)

- Deberá comunicar las violaciones de seguridad, de las que tenga conocimiento, al responsable (artículo 33.2 RGPD) sin dilación indebida, para lo que se deberá establecer un procedimiento adecuado de comunicación (generalmente se reconocerá dicho procedimiento en el contrato de encargo de tratamiento).

- Deben designar a un Delegado de Protección de Datos en los casos previstos en el artículo 37 RGPD y en el artículo 34 de la LOPDGDD. (Véase el tema: Delegado de Protección de Datos), si bien, se podrá nombrar de manera voluntaria.

- Asimismo, toda vez el Reglamento contempla la posibilidad de que los encargados pueden adherirse a códigos de conducta, conforme establece el art. 40 RGPD, tal adhesión pudiera suponer la asunción de determinadas obligaciones. Esta adhesión podrá utilizarse como elemento para demostrar la existencia de las garantías suficientes en el marco de las transferencias de datos personales a terceros países u organizaciones internacionales.


En todo caso, debemos tener presente que el hecho de que el RGPD establezca determinadas obligaciones al encargado del tratamiento, ello no determina una minoración en la responsabilidad del responsable del tratamiento por cuanto que será este quien determine tanto la existencia del tratamiento de datos como la finalidad del mismo. Además, pudieran ser exigibles otras obligaciones en virtud de lo estipulado en el contrato firmado con el responsable del tratamiento.

No hay versiones para este comentario

Datos personales
Tratamiento de datos personales
Encargado del tratamiento
Cumplimiento de las obligaciones
Transferencia de datos personales
Responsable del tratamiento
Delegado de protección
Protección de datos
Acto jurídico
Conservación de datos personales
Registro de las actividades de tratamiento
Categorías especiales de datos
Autoridad de control de datos
Datos personales relativos a condenas e infracciones penales
Tramitación telemática
Medidas de seguridad
Estado de la técnica
Persona física
Acceso a datos personales
Dilaciones indebidas
Código de conducta
Responsabilidad del responsable del tratamiento
Pertenece al Grupo

Documentos relacionados
Ver más documentos relacionados
  • Infracciones en materia de protección de datos (LOPDGDD y RGPD)

    Orden: Administrativo Fecha última revisión: 23/01/2019

    Las infracciones se recogen de manera bastante somera en el artículo 83 del RGPD y de un modo más específico en la nueva LOPDGDD (arts. 71 a 74).   Con respecto al RGPD, el artículo 83 indica las condiciones para la imposición de multas admini...

  • Relación entre responsable/encargado del tratamiento de datos en el RGPD y en la LOPDGDD

    Orden: Administrativo Fecha última revisión: 30/01/2019

    La relación entre el responsable y el encargado debe ser formalizada mediante un contrato u otro acto jurídico que vincule al encargado respecto al responsable (apdo. 3º, Art. 28 RGPD)Según el apartado 3º del Art. 28 RGPD: «el tratamiento p...

  • Responsabilidad del Responsable del tratamiento de datos en el RGPD y en la LOPDGDD.

    Orden: Administrativo Fecha última revisión: 30/01/2019

    La regulación de la responsabilidad del Responsable del Tratamiento se contempla en el artículo 24 del RGPD, así como en el artículo 28 de la LOPDGDD. Las obligaciones impuestas por el RGPD a los responsables del tratamiento de los datos se pone...

  • Transferencias internacionales de datos en el RGPD y en la LOPDGDD

    Orden: Administrativo Fecha última revisión: 11/02/2019

    Las transferencias internacionales de datos suponen un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo (es decir, fuera de los países de la Unión Europea, más Liec...

  • Registro de actividades de tratamiento datos en el RGPD y en la LOPDGDD

    Orden: Administrativo Fecha última revisión: 04/02/2019

    Una de las novedades que presentaba el RGPD era la obligación que esta norma impone a responsables y encargados (o a sus representantes) de mantener un registro de actividades de tratamiento. Así, este registro viene a sustituir la obligación de c...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados