Relación entre responsable/encargado del tratamiento de datos en el Reglamento general de protección de datos (RGPD) y en la LO 3/2018 (LOPDGDD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 30/01/2019

La relación entre el responsable y el encargado debe ser formalizada mediante un contrato u otro acto jurídico que vincule al encargado respecto al responsable (apdo. 3º, Art. 28 RGPD)

Según el apartado 3º del Art. 28 RGPD: «el tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable»

Como vemos, el contenido mínimo de estos contratos se encuentra minuciosamente regulado en el Reglamento, pero, a mayor abundamiento, esta norma también impone que el contrato o acto jurídico estipulen –en particular – las siguientes obligaciones del encargado:

  1. tratar los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado; en tal caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público;
  2. garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria;
  3. tomar todas las medidas necesarias de conformidad con el Art. 32 RGPD;
  4. no recurrir a otro encargado del tratamiento sin la autorización previa por escrito, -específica o general-, del responsable, y en su caso la imponer a ese otro encargado -mediante la formalización de contrato u otro instrumento jurídico- de las mismas obligaciones protección de datos que la estipuladas en el contrato u otro acto jurídico formalizado entre el responsable y el encargado.
  5. asistir al responsable, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados.
  6. ayudar al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado.
  7. a elección del responsable, suprimir o devolver todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimir las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros;
  8. poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el Art. 28 RGPD, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable

En relación con este extremo, cabe destacar que el RGPD expresamente reconoce que la adhesión del encargado a un código de conducta aprobado o a un mecanismo de certificación aprobado puede servir de elemento para demostrar el cumplimiento de las obligaciones por parte del responsable.

El Art. 29 RGPD, establece que “el encargado del tratamiento y cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo podrán tratar dichos datos siguiendo instrucciones del responsable, a no ser que estén obligados a ello en virtud del Derecho de la Unión o de los Estados miembros”. Ahora bien, sin perjuicio de que resulta necesario atender al tenor literal de este precepto, en todo caso, el encargado deberá informar inmediatamente al responsable si, en su opinión, una instrucción infringe el Reglamento u otras disposiciones en materia de protección de datos de la Unión o de los Estados miembros.

Por su parte, la LOPDGDD en su artículo 33.2 indica que "Tendrá la consideración de responsable del tratamiento y no la de encargado quien en su propio nombre y sin que conste que actúa por cuenta de otro, establezca relaciones con los afectados aun cuando exista un contrato o acto jurídico con el contenido fijado en el artículo 28.3 del Reglamento (UE) 2016/679. Esta previsión no será aplicable a los encargos de tratamiento efectuados en el marco de la legislación de contratación del sector público. Tendrá asimismo la consideración de responsable del tratamiento quien figurando como encargado utilizase los datos para sus propias finalidades".

Además tal y como ya indicamos en el tema precedente, a pesar de que el responsable será quien determine, a la finalización de la prestación, si los datos se deben destruir o si le serán devueltos (por su indicación o bien porque haya una previsión legal por la que no proceda su destrucción), el encargado del tratamiento podrá conservar, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el responsable del tratamiento.

Por último, estimamos oportuno señalar que conforme a la D.T. 5ª de la LOPDGDD, los contratos de encargo formalizados con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022. De cualquier modo, durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el artículo 28 del RGPD y en el Capítulo II del Título V de la LOPDGDD.

Véanse los temas: Encargado del tratamiento de datos de carácter personal en el RGPD y en la LOPDGDD y Obligaciones específicas de los encargados del tratamiento de datos de carácter personal en el RGPD y en la LOPDGDD

No hay versiones para este comentario

Datos personales
Acto jurídico
Encargado del tratamiento
Cumplimiento de las obligaciones
Tratamiento de datos personales
Protección de datos
Transferencia de datos personales
Interés publico
Responsable del tratamiento
Conservación de datos personales
Código de conducta
Mecanismo de certificación
Acceso a datos personales
Modificación de contrato

Ley Orgánica 3/2018 de 5 de Dic (Protección de Datos Personales y garantía de los derechos digitales -LOPDGDD-) VIGENTE

Boletín: Boletín Oficial del Estado Número: 294 Fecha de Publicación: 06/12/2018 Fecha de entrada en vigor: 07/12/2018 Órgano Emisor: Jefatura Del Estado

Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) VIGENTE

Boletín: Diario Oficial de la Unión Europea Número: 118 Fecha de Publicación: 04/05/2016 Fecha de entrada en vigor: 24/05/2016 Órgano Emisor: Parlamento Europeo Y Consejo

Pertenece al Grupo

Documentos relacionados
Ver más documentos relacionados
  • Obligaciones específicas de los encargados del tratamiento de datos de carácter personal en el RGPD y en la LOPDGDD

    Orden: Administrativo Fecha última revisión: 30/01/2019

    El RGPD impone de forma expresa determinadas obligaciones a los encargados del tratamiento de datos de carácter personal (arts. 32, 37 y 40 RGPD). Por su parte la LOPDGDD establece tambien una serie de obligaciones (art. 28, 31 y 34 LOPDGDD). Como...

  • Transferencias internacionales de datos en el RGPD y en la LOPDGDD

    Orden: Administrativo Fecha última revisión: 11/02/2019

    Las transferencias internacionales de datos suponen un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo (es decir, fuera de los países de la Unión Europea, más Liec...

  • Infracciones en materia de protección de datos (LOPDGDD y RGPD)

    Orden: Administrativo Fecha última revisión: 23/01/2019

    Las infracciones se recogen de manera bastante somera en el artículo 83 del RGPD y de un modo más específico en la nueva LOPDGDD (arts. 71 a 74).   Con respecto al RGPD, el artículo 83 indica las condiciones para la imposición de multas admini...

  • Introducción a la protección de datos

    Orden: Administrativo Fecha última revisión: 07/02/2019

    El nuevo Reglamento General de Protección de Datos de la Unión Europea (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de d...

  • Transferencias internacionales, BCR y Códigos de conducta en el RGPD y en la LOPDGDD

    Orden: Administrativo Fecha última revisión: 11/02/2019

    Comenzamos el estudio de estas figuras con una breve aproximación a la definición de cada una de ellas, que ampliaremos y desarrollaremos en el tema correspondiente.Las transferencias internacionales de datos (Capítulo V del RGPD), suponen un fluj...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados