Seguimos un martes más con un nuevo artículo del Ciclo artículos de la cuenta atrás hacia el nuevo RGPD. Éste será de aplicación obligatoria el próximo 25 de mayo. Así pues, estamos hablando del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas por el que se deroga la Directiva 95/46/CE (en adelante, RGPD).
Esta vez es el turno de las relaciones con terceros. Especialmente, hablaremos de las obligaciones del responsable de tratamiento y del encargado de tratamiento que se encuentra regulado en el Capítulo IV que habla del responsable del tratamiento y el encargado del tratamiento, del mencionado Reglamento. ¡Allá vamos!
>Figuras implicadas
Un responsable del tratamiento o responsable es la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o junto con otros, determina las finalidades y los medios del tratamiento.
Un encargado del tratamiento o encargado es la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que trata datos personales por cuenta del responsable del tratamiento.
>Corresponsables del tratamiento
Hablamos de corresponsable del tratamiento cuando dos o más responsables determinan conjuntamente los objetivos y los medios del tratamiento. Estos dos responsables han de determinar de forma transparente y de mutuo acuerdo sus responsabilidades respectivas, en el cumplimiento de las obligaciones impuestas por éste Reglamento. Así mismo, los interesados pueden reclamar y ejercer los Derechos ante cualquiera de los dos Responsables.
>Diferencias respecto al encargado del tratamiento con el RGPD
El RGPD establece obligaciones expresamente dirigidas a los encargados de tratamiento. Así pues, tienen obligaciones propias a parte del contrato entre Responsable y Encargado como son:
- Tener un registro de actividades de tratamiento.
- Determinar medidas de seguridad a aplicar.
- Designar un DPD si les corresponde.
Además, se pueden adherir a códigos de conducta o certificarse para demostrar el cumplimiento.
>Elección del responsable de un encargado de tratamiento
El Responsable debe de escoger a un Encargado que ofrezca garantías suficientes para aplicar las medidas técnicas y organizativas adecuadas. De manera que el tratamiento sea conforme a los requisitos de éste Reglamento y garantice la protección de los derechos del interesado. En caso que el Encargado subcontrate, éste también deberá cumplir con dichas garantías.
Finalmente, el tratamiento efectuado por el Encargado se debe regir por un contrato o por otro acto jurídico conforme al derecho de la Unión o de los estados miembros.
>El contracto del encargado del tratamiento
La vinculación entre ambos debe reflejarse en un contrato escrito o acto jurídico en el cual se deberá incluir las siguientes cláusulas:
- Objeto, duración, naturaleza y finalidad del tratamiento.
- Tipos de datos personales y categorías de los interesados.
- Obligación del encargado de tratar los datos personales siguiendo las instrucciones del Responsable.
- Condiciones para que el Responsable pueda dar su autorización para las subcontrataciones.
- Asistencia del Responsable, en atención al ejercicio de derechos del interesado, etc.
Los contratos anteriores al RGPD (mayo 2018) se deben de modificar.
Finalmente, es necesario remarcar el deber de confidencialidad por parte del encargado de tratamiento de datos y de las personas autorizadas a tratar los datos de carácter personal. Dicho deber tiene que quedar en constancia por escrito y que se encuentra a disposición del responsable.