¿Qué novedades introduce el RGPD en la figura del encargado del tratamiento respecto a su regulación en el artículo 12 LOPD?
El contrato del encargado de tratamiento se encontraba regulado por el artículo 12 LOPD. Desde nuestra consultoría en protección de datos le contamos los cambios más significativos respecto a su regulación actual con el RGPD por el artículo 28.
1. ¿Cómo se regulaba el encargado de tratamiento en el artículo 12 LOPD?
Analizando el artículo 12 LOPD, se puede definir al encargado de tratamiento como aquel que trata datos personales por cuenta de terceros, para la prestación de un servicio a dicho responsable de tratamiento.
Concretamente, la prestación de servicios por parte del que va a acceder a los datos, es la razón por la que no se considera una mera comunicación de datos, cómo se recoge específicamente en el primer apartado del artículo 12 LOPD.
Por otro lado, el artículo 12 LOPD no se limita a definirlo, sino que establece que la relación entre responsable de tratamiento y encargado de tratamiento “deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido”.
Respecto al contenido del contrato de responsable y encargado de tratamiento, la LOPD establecía que obligatoriamente tenía que contener lo siguiente:
- Que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento.
- Los datos personales no serán tratados por el encargado de tratamiento con fines distintos a los establecidos por el responsable.
- De igual modo, los datos personales no se comunicarán, ni siquiera para su conservación, a otras personas.
- Que el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativa necesarias que garanticen la seguridad de los datos y evite su alteración, pérdida, tratamiento o acceso no autorizado, tal y como se recoge en el artículo 9 LOPD.
2. ¿Qué novedades introduce el RGPD?
Respecto a la regulación contenida en el artículo 12 LOPD, el RGPD, en su artículo 28 introduce principalmente las siguientes novedades:
1) El encargado del tratamiento sólo podrá elegir a un encargado de tratamiento que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas suficientes para aplicar medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.
2) Se concreta que en el contrato existente entre encargado y responsable deben constar el objeto, la duración, la finalidad del tratamiento, el tipo de datos personales tratados, las categorías de Interesados y las obligaciones y derechos de las partes.
3) El encargado de tratamiento sólo podrá realizar transferencias internacionales de datos cuando haya sido así indicado por el responsable. A excepción de aquellos casos en que, por disposición legal del Derecho de la Unión o de un Estado Miembro, dicha transferencia deba realizarse. En éste último caso, aunque para la realización de la transferencia no sea necesaria la autorización del responsable, sí que deberá haberse informado con anterioridad al mismo de la existencia de la obligación legal, siempre que el derecho de la Unión o Estado Miembro, por razones de interés público, prohíba dicha comunicación.
4) Recoge expresamente que el encargado deberá garantizar al responsable el cumplimiento de la obligación de la confidencialidad.
5) Respecto las medidas de seguridad, en la anterior regulación se establecía que en el contrato entre encargado y Responsable se indicarían las medidas de seguridad concretas a aplicar. No obstante, en la nueva regulación del RGPD, se dispone que en el Contrato entre Encargado y Responsable debe constar que el primero se compromete a adoptar todas las medidas de seguridad necesarias para cumplir con las exigencias de la normativa de protección de datos, pudiéndose determinar las medidas a aplicar mediante un listado o remisión a un estándar, código de conducta o mecanismo de certificación.
6) Se establece que el encargado asistirá al Responsable en el cumplimiento de respuestas a solicitudes de ejercicios de derechos por parte de los interesados.
7) El encargado deberá ayudar al Responsable a cumplir con las obligaciones que recaen sobre éste, que son medidas de seguridad a aplicar, notificación de violaciones de seguridad, comunicación de violaciones de seguridad, evaluación de impacto y consulta previa; así como deberá colaborar con el responsable para demostrar el cumplimiento de las obligaciones derivadas de la normativa de protección de datos.
8) A pesar de que en el artículo 12 LOPD se disponía la obligación de indicar en el contrato entre encargado y responsable que a la finalización del mismo, los datos deberían ser destruidos o devueltos al responsable, no se indicaba de manera expresa quién tenía poder en la decisión de devolución o destrucción de los datos. Sin embrago, el RGPD dispone de manera expresa que el responsable será el que elegirá entre la destrucción o devolución de los datos.
9) El RGPD establece que el contrato entre responsable y encargado deberá constar por escrito.
3. Conclusión
El anterior contrato de encargado de tratamiento regulado en el artículo 12 LOPD, viene a ser sustituido por el contrato de encargado de tratamiento regulado en el artículo 28 del RGPD.
En consecuencia, desde nuesttra asesoría jurídica en protección de datos, con la finalidad de que su empresa esté correctamente adaptada al RGPD, le asesoramos tanto en las situaciones en que es necesario formalizar el contrato de encargado de tratamiento, así como, en la adaptación de los ya existentes a la actual normativa.
