1

Como ya sabemos, la protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental y desde el pasado día 25 de mayo debe aplicarse el nuevo Reglamento General de Protección de Datos (RGPD), una vez finalizado el periodo transitorio de dos años previsto. Se trata, por lo tanto, de un tema de absoluta actualidad y de gran importancia, que tiene muy preocupado a muchas de nuestras empresas que aún, pese a su obligatoriedad, apenas lo conocen.

En este breve artículo vamos a abordar solo un aspecto de la nueva normativa, como es el actual marco jurídico que contempla este Reglamento para las relaciones entre los responsables y los encargados de los tratamientos de datos, y más concretamente las obligaciones de esta importante figura del encargado, que en la anterior normativa apenas estaba regulada.

Debemos destacar que la responsabilidad última sobre el tratamiento sigue recayendo en el responsable, que es la persona que establece el tratamiento y su finalidad, y, por ello, el RGPD le exige que “al encomendar actividades de tratamiento a un encargado, debe recurrir únicamente a encargados que ofrezcan suficientes garantías, en particular en lo que respecta a conocimientos especializados, fiabilidad y recursos, de cara a la aplicación de medidas técnicas y organizativas que cumplan con los requisitos el presente Reglamento, incluida la seguridad del tratamiento…”

Es obligatorio que las relaciones entre el responsable y el encargado se formalicen en un contrato y otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros que vincule a este último con el primero, y que fije al menos los siguientes aspectos:

  • Objeto, duración, naturaleza y finalidad de los tratamientos.
  • Tipo de datos personales y las categorías de interesados.
  • Las obligaciones y derechos del responsable.

Entre las obligaciones específicas del encargado del tratamiento se recogen las siguientes:

  1. a) Tratar los datos personales únicamente siguiendo instrucciones documentadas del responsable, obligando que así también lo hagan el resto de las personas que actúen bajo su autoridad.
  2. b) Garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria.
  3. c) Aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
  4. c) Obtener la autorización previa por escrito, específica o general, del responsable para poder recurrir a otro encargado.
  5. d) Exigir, en el caso de recurrir a otro encargado, mediante contrato o acto jurídico las mismas obligaciones de protección que las estipuladas en el contrato u otro acto jurídico entre el responsable y el primer encargado.
  6. e) Asistir al responsable, teniendo en cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes de los interesados en el ejercicio de sus derechos (como el de acceso, rectificación y supresión, a la limitación de tratamiento, a la portabilidad de los datos, oposición y a no ser objeto de decisiones individuales automatizadas).
  7. f) Ayudar al responsable a garantizar el cumplimiento de sus obligaciones en la materia.
  8. g) Suprimir o devolver, a elección del responsable, todos los datos personales una vez finalice la prestación de los servicios de tratamiento y suprimir las copias existentes, salvo que legalmente deba conservarla.
  9. h) Poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones y la realización de auditorías e inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.
  10. i) Informar inmediatamente al responsable si, en su opinión, una instrucción infringe la normativa de protección de datos.

  Para finalizar, señalar que en el caso de que un encargado recurra a otro, y este incumpla sus obligaciones de protección de datos, el encargado inicial seguirá siendo plenamente responsable antes el responsable del tratamiento por lo que respecta al cumplimiento de las obligaciones del otro encargado.