Relación entre responsable/encargado del tratamiento de datos en el Reglamento general de protección de datos (RGPD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 19/06/2018

La relación entre el responsable y el encargado debe ser formalizada mediante un contrato u otro acto jurídico que vincule al encargado respecto al responsable (apdo. 3º, Art. 28 RGPD)

Según el apartado 3º del Art. 28 RGPD:

«el tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable»

Como vemos, el contenido mínimo de estos contratos se encuentra minuciosamente regulado en el Reglamento, pero, a mayor abundamiento, esta norma también impone que el contrato o acto jurídico estipulen –en particular – las siguientes obligaciones del encargado:

  • a) tratar los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado; en tal caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público;
  • b) garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria;
  • c) tomar todas las medidas necesarias de conformidad con el Art. 32 RGPD;
  • d) no recurrir a otro encargado del tratamiento sin la autorización previa por escrito, -específica o general-, del responsable, y en su caso la imponer a ese otro encargado -mediante la formalización de contrato u otro instrumento jurídico- de las mismas obligaciones protección de datos que la estipuladas en el contrato u otro acto jurídico formalizado entre el responsable y el encargado.
  • e) asistir al responsable, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados.
  • f) ayudar al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado.
  • g) a elección del responsable, suprimir o devolver todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimir las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros;
  • h) poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el Art. 28 RGPDasí como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable

En relación con este extremo, cabe destacar que el RGPD expresamente reconoce que a adhesión del encargado a un código de conducta aprobado o a un mecanismo de certificación aprobado puede servir de elemento para demostrar el cumplimiento de las obligaciones por parte del responsable.

El Art. 29 RGPD, establece que “el encargado del tratamiento y cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo podrán tratar dichos datos siguiendo instrucciones del responsable, a no ser que estén obligados a ello en virtud del Derecho de la Unión o de los Estados miembros”. Ahora bien, sin perjuicio de que resulta necesario atender al tenor literal de este precepto, en todo caso, el encargado deberá de informar inmediatamente al responsable si, en su opinión, una instrucción infringe el Reglamento u otras disposiciones en materia de protección de datos de la Unión o de los Estados miembros.

Por último, estimamos oportuno señalar que los contratos de encargo formalizados con anterioridad al 28 de mayo de 2018 -fecha a partir de la cual resulta aplicable el RGPD -deberán ser modificados al objeto de adaptarse y respetar el contenido mínimo que exige el RGPD.

No hay versiones para este comentario

Datos personales
Acto jurídico
Encargado del tratamiento
Tratamiento de datos personales
Cumplimiento de las obligaciones
Transferencia de datos personales
Interés publico
Protección de datos
Conservación de datos personales
Código de conducta
Mecanismo de certificación
Acceso a datos personales
Pertenece al Grupo

Documentos relacionados
Ver más documentos relacionados
  • Encargado del tratamiento de datos de carácter personal en el RGPD

    Orden: Administrativo Fecha última revisión: 30/07/2018

    Según el apdo. 8 del Art. 4 el «encargado del tratamiento» o «encargado» es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamientoNOVEDADES: Real Decr...

  • Principio de licitud en el RGPD

    Orden: Administrativo Fecha última revisión: 19/06/2018

    Como se deduce de la literalidad del articulo reproducido, el denominado “principio de licitud” se encuentra referenciado junto con los principios de transparencia y lealtad. Ahora bien, esta reseña unificada no impide que pueda ser objeto de an...

  • Glosario de definiciones del RGPD

    Orden: Administrativo Fecha última revisión: 18/06/2018

    El RGPD proporciona -en su artículo 4- la definición de los sobre los que se gravita la regulación de la protección de datos de carácter personal. Así, los distintos operadores jurídicos, la ciudadanía, los poderes públicos, tienen a su alc...

  • Reglamento General de Protección de Datos (RGPD)

    Orden: Administrativo Fecha última revisión: 30/07/2018

    El nuevo Reglamento General de Protección de Datos de la Unión Europea, conocido como «Reglamento General de Protección de Datos» (RGPD), entró en vigor el 25 de mayo de 2016, a pesar de que su aplicación plena ha comenzado el 25 de mayo d...

  • Registro de actividades de tratamiento datos en el RGPD

    Orden: Administrativo Fecha última revisión: 19/06/2018

    Una de las novedades que presenta el nuevo RGPD es la obligación que esta norma impone a responsables y encargados (o a sus representantes) de mantener un registro de actividades de tratamiento. Así, este registro viene a sustituir la obligación d...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados