Conoce Atico34 - Solicita presupuesto
Glosario

Encargado del tratamiento de datos RGPD

El encargado del tratamiento de datos es una de las figuras clave dentro de la protección de datos personales; en las siguientes líneas explicamos quién es el encargado del tratamiento de datos personales en el RGPD, cuáles son sus funciones y obligaciones.

¿Qué es un encargado de tratamiento de datos?

El encargado de tratamiento de datos es la persona jurídica o física, autoridad pública u organismo que brinda un servicio que conlleva el tratamiento de datos personales por cuenta de un responsable del tratamiento.

Es decir, el encargado de tratamiento lleva a cabo el tratamiento de datos encomendado por el responsable, que es quien determina y fija los medios y finalidad del tratamiento, así como los datos a los que tendrá acceso el encargado, que se limita a seguir y cumplir las instrucciones dadas por el responsable.

Por lo tanto, la principal de las diferencias entre responsable y encargado del tratamiento de datos, y lo que sirve para determinar cuándo estamos ante una u otra figura, es que el responsable cede el tratamiento de los datos al encargado, pero sigue siendo el máximo responsable sobre los fines, medios y consecuencias del tratamiento.

El encargado del tratamiento de datos personales en el RGPD

El encargado del tratamiento en el RGPD está regulado en el artículo 28, que establece que el responsable del tratamiento de datos escogerá a un encargado que garantice la capacidad para aplicar las medidas técnicas y organizativas necesarias a las que hace referencia el Reglamento.

Asimismo, el artículo 28.3 del RGPD puntualiza que «el tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable».

¿Quién puede ser encargado de protección de datos personales?

Pueden ser encargado de protección de datos personas físicas o jurídicas, autoridades públicas, servicios u otros organismos autorizados para el tratamiento de datos por el responsable, que deberá asegurarse de que el encargado elegido cumple con la normativa de protección de datos y aplica las medidas técnicas y organizativas necesarias para garantizar la protección de datos.

El encargo del tratamiento siempre se cede a terceros externos a la empresa, salvo en los casos de grupos de empresas, en los que una de ellas puede actuar como encargado del tratamiento para otra empresa del grupo.

tarifas proteccion datos

¿Cuáles son las funciones de los encargados del tratamiento de datos personales?

Las funciones de los encargados del tratamiento de datos personales son las siguientes:

  • Tratar los datos de acuerdo a las instrucciones proporcionadas por el responsable, incluyendo las transferencias internacionales de datos.
  • Asistir al responsable mediante la aplicación de las medidas técnicas y organizativas necesarias, teniendo en cuenta la naturaleza del tratamiento, para garantizar que este pueda responder a las solicitudes de los interesados para ejercer sus derechos ARCO.
  • Ayudar al responsable a garantizar el cumplimiento de los dispuestos en los artículos 32 a 36 del RGPD, sobre seguridad del tratamiento, notificación de violaciones de seguridad o elaboración de valuaciones de impacto.
  • Suprimir o devolver, a elección del responsable, los datos personales una veza que haya finalizado la prestación de servicios.
  • Poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones anteriores.

¿Cuáles son las obligaciones del encargado del tratamiento de datos?

Las obligaciones del encargado de tratamiento de datos respecto a los datos personales son las siguientes.

Las obligaciones del encargado del tratamiento RGPD son:

  • Organizativas:
    • Deberá manejar los datos personales de acuerdo a las instrucciones proporcionadas por el responsable del fichero en el tiempo y la forma oportunos.
    • No podrá usar los datos con fines diferentes a los indicados.
    • Utilizará los datos de carácter personal a los que pueda acceder única y exclusivamente para satisfacer sus obligaciones contractuales.
  • En medidas de seguridad que garanticen la integridad y la confidencialidad de los datos:
    • Garantizará que las personas autorizadas para tratar los datos se hayan comprometido a respetar la confidencialidad.
    • Adoptará las medidas técnicas y organizativas que la normativa tanto europea como nacional exige.
    • Destruir o restituir al responsable del fichero los datos de carácter personal, así como los soportes que lo contengan, dando fe por escrito de dicha devolución o destrucción.
    • Conservar, debidamente bloqueados, los datos en tanto pudieran dar lugar a responsabilidades de su relación con el responsable del tratamiento.
  • De asistencia al responsable:
    • Asistirá al responsable, a través de medidas técnicas y organizativas apropiadas, para que este pueda cumplir con su obligación de responder a las solicitudes de Derechos ARCO.
    • No declarar, transmitir, ceder o comunicar los ficheros y datos en ellos contenidos, de ninguna forma, a ningún tercero (puede que te interese nuestro artículo sobre qué hacer si me robaron mis datos personales, si un encargado ha sido responsable de una filtración de datos).

Asimismo, el encargado del tratamiento pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el contrato.

También permitirá y contribuirá la realización de

  • Auditorías.
  • Inspecciones.

Todas estas obligaciones del encargado tienen como objetivo cumplir la normativa de protección de datos y respetar el principio de accountability.

obligaciones encargado tratamiento datos rgpd

¿El encargado del tratamiento puede recurrir a otro encargado del tratamiento?

Con carácter general, el encargado del tratamiento RGPD no podrá subcontratar con un tercero la realización de ningún tratamiento que le haya delegado el responsable del tratamiento.

El encargado del tratamiento puede recurrir a otro encargado solo cuando esté autorizado por el responsable y recogido de forma específica en el contrato de encargo de tratamiento.

En este supuesto, el encargado del tratamiento de datos personales está obligado a informar al responsable de la entrada de un subencargado o su sustitución por otros subencargados, dando así al responsable la oportunidad de oponerse a dichos cambios.

En todo caso, el encargado deberá imponer, mediante el contrato o acto jurídico, las mismas obligaciones que tiene aquel y que se recogen en el contrato inicial.

¿Un DPO externo es un encargado de tratamiento de datos?

Sí, un DPO externo es un encargado de tratamiento de datos, puesto que tendrá acceso a datos personales en nombre del responsable.

Es decir, aquellas empresas o entidades en las que es obligatorio contratar una empresa de protección de datos para desempeñar las funciones de delegado de protección de datos (por carecer ellas del personal adecuado para ser DPO), deben formalizar con el servicio externo un contrato de encargo de tratamiento.

Ejemplos de encargado del tratamiento

Finalmente, veamos algunos ejemplos de encargado del tratamiento para ilustrar este artículo.

Imaginemos una Empresa X que cuenta con una base de datos de los clientes, de los cuáles es responsable del tratamiento. Sin embargo, para el mantenimiento de dichas bases de datos, la Empresa X contrata a Informática X, la cual también tendrá acceso a los datos de los clientes para realizar el mantenimiento informático. En este caso, Informática X actuará como encargada del tratamiento.

Un ejemplo más complejo podría ser el de una Asesoría X. Las asesorías ejercen a la vez como responsables y encargadas del tratamiento. Por ejemplo, será la responsable del tratamiento de los clientes que tiene en su base de datos. A la hora de brindar sus servicios a otras empresas (por ejemplo, gestión de nóminas) ejercerá como encargada del tratamiento.

Otro ejemplo lo tenemos con el abogado de protección de datos, cuyos servicios pueden contratarse por una empresa (como responsable del tratamiento) para que la asesore en materia de protección de datos o cumpla la función de DPO, en cuyo caso este abogado sería un encargado de tratamiento.

En definitiva, el encargado del tratamiento tiene básicamente las mismas responsabilidades en materia de protección de datos que un responsable, es decir, debe garantizar la seguridad de los datos personales que trata, además de cumplir con las obligaciones encomendadas por el responsable del tratamiento en el correspondiente contrato.

Si tu empresa presta servicios a otras, estas requieren firmar contigo un contrato de encargo de tratamiento, porque vas a tratar datos de sus clientes o empleados y tienes dudas al respecto, siempre puedes buscar asesoramiento sobre protección de datos en consultorías que cuenten con expertos en la materia, estos revisarán los contratos de encargo y te ayudarán ante cualquier duda, problema o conflicto que pudiera surgir.

Desde Grupo Atico34 te facilitamos el modelo contrato de encargado de tratamiento de datos que necesitan firmar tus proveedores de servicios y, si tienes cualquier duda, consúltanos.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.