El pasado 25 de mayo pasó a ser de obligado cumplimiento el nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas por el que se deroga la Directiva 95/46/CE (en adelante, RGPD). Éste establece un nuevo régimen jurídico del cual es necesario destacar la figura del encargado de tratamiento, el cuál vamos a exlicar a continuación.
>Concepto
El encargado de tratamiento se encuentra regulado en el artículo 28 del Nuevo Reglamento General de Protección de datos (UE). Puede ser definido como aquella persona física o jurídica, autoridad pública, servicio u otro organismo que tiene la finalidad de prestar un servicio al responsable tratando datos personales por cuenta de éste. Sin embargo, los tipos de encargado del tratamiento pueden variar según el tipo de servicio que se lleve a cabo igual que según las formas en que se regule su relación y el tipo de datos personales a los cuales tengan acceso.
Sin embargo, en el momento de ponerlo en práctica puede llevar a confusiones por lo que debemos tener claro la distinción entre responsable y encargado. Le corresponde al responsable decidir la finalidad y los usos de la información y los datos recogidos, en cambio, le corresponde al encargado del tratamiento cumplir con las instrucciones que le ha encomendado la persona quinen le ha atribuido el desarrollo del servicio determinado. En especial, debe seguir las directrices señaladas en cuanto al uso de los datos personales recogidos.
Artículo 28
Encargado del tratamiento
- Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.
>Cláusulas contractuales
Para que se establezca la relación entre responsable del tratamiento y el encargado deben establecerse un seguido de cláusulas contractuales entre ellos, sobre el tratamiento de datos por el encargado del tratamiento, por cuenta del responsable del tratamiento. A continuación, las vamos a tratar:
- Objeto de las cláusulas contractuales
- Naturaleza, objeto y finalidad del tratamiento
- Condiciones del tratamiento
- Derechos y obligaciones del responsable del tratamiento
- Obligaciones del encargado del tratamiento
- Condiciones para recurrir a otro encargado del tratamiento
- Finalización de los servicios de tratamiento
>Derechos y obligaciones del responsable del tratamiento
- Derecho de comprobación de garantías de cumplimiento
- Instrucciones sobre el tratamiento
- Obligaciones respecto a los tratamientos
- Entregar al Encargado el acceso a los datos que se refiere la cláusula 3 de este documento.
- Realizar una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento a realizar por el Encargado.
- Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del Encargado.
- Supervisar el tratamiento, incluida la realización de inspecciones y controles de cumplimiento.
>Obligaciones del encargado del tratamiento
El encargado del tratamiento debe seguir unas obligaciones para desarrollar su tarea encomendada de forma correcta y son:
- Información a disposición del responsable del tratamiento.
- Designación de un Delegado de Protección de Datos
- Obligación de llevar un registro de actividades
- Seguridad del tratamiento
- Asistencia al responsable del tratamiento
- Instrucciones infractoras del responsable del tratamiento
- Deber de secreto
- Prohibición de otros tratamientos
- Transferencias Internacionales de datos
- Supuesto de realización del tratamiento en los locales del responsable del tratamiento