El Encargado de tratamiento de datos en el Reglamento General de Protección de Datos (RGPD)
El encargado de tratamiento de datos. En la práctica de protección de datos, es habitual preguntarnos qué papel desempeñan aquellos proveedores que para prestarnos un servicio (gestión de nóminas, mantenimiento informático, etc.) pueden acceder a los datos de nuestros clientes, proveedores o, por ejemplo, empleados.
El presente artículo va dedicado precisamente a estos proveedores, los denominados Encargados de tratamiento de datos. Desde nuestra consultoría en protección de datos distinguiremos, en primer lugar, esta figura de la del Responsable del tratamiento y analizaremos, en segundo lugar, cuáles son sus obligaciones principales con el nuevo Reglamento General de Protección de Datos (RGPD).
1. ¿Quién es el Encargado de tratamiento de datos ?
Para entender esta figura, es necesario diferenciarla de la del Responsable de tratamiento de datos o Responsable del tratamiento:
-
El Responsable de tratamiento de datos se identifica con toda persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.
Siguiendo esta definición, serán Responsables de Tratamiento todas las organizaciones, empresas y entidades (ya sean pequeñas, medianas o grandes) y profesionales autónomos que, en el desarrollo de su actividad, accedan y/o traten datos de carácter personal sobre los que decidan cuál va a ser la finalidad, contenido y uso del tratamiento.
Ejemplo: Cualquier empresa que contrate a trabajadores será Responsable del Tratamiento de sus datos de carácter personal (nombre, apellidos, datos de la Seguridad Social…) porque decide cuál va a ser la finalidad del tratamiento de los datos (las empresas tratarán esta información con la finalidad de gestionar las nóminas de todo el personal a su cargo).
-
Por el contrario, el Encargado de Tratamiento de datos es toda persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos por cuenta del Responsable de Tratamiento.
Es decir, se trataría de todas aquellas empresas, entidades, organizaciones o profesionales autónomos que, para prestar un servicio a un tercero (otra empresa, entidad, organización o profesional autónomo), han de acceder y/o tratar necesariamente datos de carácter personal de los que este tercero es Responsable de Tratamiento.
Ejemplo: Las empresas de prestación del servicio de alojamiento de página Web a un tercero (empresas de hosting); las empresas que se encargan de gestionar la contabilidad de otras; los informáticos autónomos, ajenos a la empresa, cuya función es verificar el correcto funcionamiento de los ordenadores de la empresa… son Encargados de tratamiento de datos porque, para prestarles este servicio, tienen necesariamente que acceder y/o tratar los datos de carácter personal de los que estas últimas son Responsables de Tratamiento.
2. ¿Cuáles son las obligaciones principales del Encargado de tratamiento de datos en el RGPD?
Las obligaciones principales del Encargado de tratamiento de datos en el RGPD son las siguientes:
a) Firmar un acuerdo de acceso/tratamiento de datos con el Responsable del tratamiento.
En efecto, de conformidad con el artículo 28 RGPD, el Responsable y el Encargado de tratamiento de datos deben regular el acceso/tratamiento de datos en un contrato u acto jurídico admisible que vincule al Encargado respecto al Responsable.
El contrato o acto jurídico deberá establecer el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del Responsable. Además, deberá estipular lo siguiente:
- Instrucciones del Responsable: el Encargado de tratamiento de datos tratará los datos conforme a las instrucciones del Responsable del tratamiento, no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación a otras personas.
- Deber de confidencialidad: la garantía del Encargado de tratamiento de datos que su personal autorizado para tratar los datos personales está sometido al deber de secreto.
- Medidas de seguridad: el Encargado de tratamiento de datos adoptará las medidas de seguridad concretas que haya implantado el Responsable para garantizar la seguridad de la información a la que acceda y/o trate.
- Régimen de subcontratación: la posibilidad o no del Encargado de tratamiento de datos de subcontratar y en qué condiciones.
- Derechos de los interesados: el Encargado de tratamiento de datos asistirá al Responsable para atender las solicitudes de ejercicio de los derechos de acceso, rectificación, oposición, supresión, limitación al tratamiento, información y a no ser objeto de decisiones automatizadas (incluida la elaboración de perfiles).
- Colaboración en el cumplimiento de las obligaciones del Responsable: el Encargado de tratamiento de datos ayudará al Responsable, cuando proceda, en lo que respecta a la adopción de las medidas de seguridad, la notificación de las violaciones de seguridad y la realización de Evaluaciones de Impacto.
- Destino de los datos al finalizar la prestación: una vez cumplida la prestación contractual, el Encargado de tratamiento de datos destruirá o devolverá los datos de carácter personal al Responsable de Tratamiento.
- Colaboración con el Responsable para demostrar el cumplimiento: el Encargado de tratamiento de datos pondrá a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones así como para permitir y contribuir a la realización de auditorías, incluidas las inspecciones.
b) Elaborar un registro de actividades de tratamiento.
En virtud del artículo 30.2º y 5º RGPD, el Encargado de tratamiento de datos deberá documentar sus actividades de tratamiento en un registro siempre y cuando emplee a un número igual o superior a 250 personas o contrate a un número inferior pero realice tratamientos que puedan entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos o datos personales relativos a condenas e infracciones penales.
El RGPD dispone que este registro deberá contener como mínimo la siguiente información:
- El nombre y los datos de contacto del Encargado de tratamiento de datos y de cada Responsable por cuenta del cual actúe el Encargado y, en su caso, del representante del Responsable o del Encargado, y del delegado de protección de datos.
- Las categorías de tratamientos efectuados por cuenta de cada Responsable.
- En su caso, las transferencias internacionales de datos, con indicación de las garantías aportadas para la seguridad de los datos
- Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad apropiadas que esté aplicando.
Si tiene proveedores que manejan datos personales de sus clientes, en Grupo Adaptalia le asesoramos para la redacción del contrato de acceso y tratamiento de datos con su encargado de tratamiento, así como en toda la documentación que debe tener para cumplir con el RGPD. Asesórese y cumpla con la protección de datos para autónomo o empresario.