1. Obligaciones específicas para los Encargados
El RGPD dispone obligaciones establecidas expresamente dirigidas a los encargados. La responsabilidad última sobre el tratamiento la va a tener el Responsable que determina la existencia del tratamiento y su finalidad.
Los Encargados van a tener obligaciones propias que dicta el RGPD, que no tienen que ver con el contrato de prestación de servicio, y que podrán ser supervisadas por las autoridades de control, como por ejemplo:
- Deben mantener un registro de actividades de tratamiento
- Deben determinar las medidas de seguridad aplicables a los tratamientos que realicen
- Nombrar un Delegado de protección de datos(DPD) en los casos previstos
Los Encargados se podrán adherir a códigos de conducta o certificación según lo previsto en el RGPD.
2. Elección del Encargado de tratamiento
Según el principio de responsabilidad activa indicado en el RGPD, el Responsable al elegir a un encargado debe poder garantizar y demostrar que el encargado está en condiciones de realizar el tratamiento conforme al RGPD.
Los Responsables habrán de elegir a Encargados que ofrezcan garantías suficientes para la aplicación de las medidas técnicas y organizativas sean conforme a lo estipulado en el RGPD. La supervisión también se amplía a la subcontratación de operaciones de tratamiento.
Para demostrar que los encargados/subencargados ofrecen las garantías necesarias se podrán adherir a códigos de conducta o a certificaciones según lo previsto en el RGPD.
3. Contenido del contrato de encargo
La relación entre el Responsable y el Encargado deberán formalizarse en un contrato o en un acto jurídico que los vincule.
Se regula un contenido mínimo de los contratos de encargo:
- Objeto, duración, naturaleza y finalidad del tratamiento.
- La naturaleza del tratamiento
- Tipo de datos personales y categorías de interesados
- Obligación del Encargado de tratar los datos personales sólo siguiendo las instrucciones documentadas del Responsable.
- La previsión de que las personas que van a realizar el tratamiento se comprometan a mantener la confidencialidad.
- Asistencia al Responsable, siempre que sea posible, en la atención al ejercicio de derechos de los interesados.
- La obligación de devolución o eliminación de los datos al finalizar en encargo.
- Obligación de permitir que el Responsable verifique que el Encargado cumple con lo establecido en el RGPD.
- Condiciones para que el Responsable autorice previa, específica o generalmente a las subcontrataciones.
Los contratos de encargo formalizados con anterioridad a la aplicación del RGPD en mayo de 2018 deben ser modificados y adaptados para que cumplan con la normativa. NO serán válidas las remisiones genéricas del artículo del RGPD que las regula.
El RGPD establece unas obligaciones específicas de cumplimiento de los Encargados en determinadas materias, que no se ajustan a lo establecido en el contrato de encargo que los vincula. Algunos ejemplos serían:
- Los encargados deben tener un registro de actividades de tratamiento.
- Deben los encargados de establecer las medidas de seguridad aplicables a los tratamientos que realizan.
- Deben designar un DPD en los casos previsto en el RGPD.
El RGPD permitirá que los encargados se adhieran a códigos de conducta o certificarse dentro de los esquemas de certificación que el RGPD dispone. Con esto encargados o subencargados podrán demostrar que ofrecen garantías de cumplimiento suficientes.