El RGPD no solo obliga a los responsables de tratamiento (empresas u organizaciones) a cumplir, sino que también se extiende a todas aquellas terceras partes (encargados de tratamiento) que acceden a los datos personales de estas empresas u organizaciones. De acuerdo con el RGPD, todos los responsables de tratamiento deberán asegurarse de que sus proveedores cumplen y además deberán monitorizarlo y documentarlo.
Recordamos que un encargado de tratamiento es toda aquella persona física o jurídica que presta un servicio al responsable de tratamiento que supone el acceso a datos personales recogidos legalmente por este último.
Responsabilidad en la elección de encargado de tratamiento
Una de las novedades más llamativas del RGPD es la responsabilidad que recae en el responsable de tratamiento a la hora de seleccionar a un encargado de tratamiento. Esta responsabilidad consiste en asegurarse de que la persona física o jurídica que presta un servicio ofrece las garantías suficientes, conforme el RGPD, que aseguren la adecuada protección de los derechos de los sujetos cuyos datos están siendo compartidos. Existe, por lo tanto, un deber por parte de las empresas u organizaciones, de contratar con diligencia a sus proveedores.
El considerando 81 del RGPD es claro a este respecto que el responsable de tratamiento “al encomendar actividades de tratamiento a un encargado, debe recurrir únicamente a encargados que ofrezcan suficientes garantías, en particular en lo que respecta a conocimientos especializados, fiabilidad y recursos, de cara a la aplicación de medidas técnicas y organizativas que cumplan los requisitos del presente Reglamento, incluida la seguridad del tratamiento.”
Cómo regular las relaciones entre responsable y encargado de tratamiento
A la hora de regular las relaciones entre responsable y encargado de tratamiento cobra especial importancia el contrato que se suscriba entre ambas partes. Este contrato debe contener los siguientes puntos:
- Instrucciones del responsable de tratamiento
En las que se detalle de modo claro y preciso los tratamientos a realizar por parte del encargado de tratamiento. - Obligación de confidencialidad
Por la que se establece que las personas autorizadas a tratar datos personales se comprometen a respetar la confidencialidad. - Las medidas de seguridad
El encargado de tratamiento debe comprometerse a adoptar todas las medidas de seguridad necesarias y que han sido determinadas previamente por el responsable en base a su evaluación de riesgos. - El régimen de subcontratación
El RGPD exige que el responsable autorice previamente por escrito cualquier acuerdo por el que el encargado recurra a otro subencargado para llevar a cabo el servicio y acceder por lo tanto a los datos personales. - Derechos de los interesados
se debe determinar el modo en el que el encargado de tratamiento asistirá a los sujetos que soliciten ejercer sus derechos sobre sus datos. El encargado de tratamiento está obligado a responder a las solicitudes que reciba relativas al derecho de acceso, rectificación, supresión, limitación de tratamiento, portabilidad de datos, oposición y a no ser objeto de decisiones individualizadas automatizadas. - Colaboración en el cumplimiento de las obligaciones del responsable
El encargado deberá ayudar al responsable a aplicar las medidas de seguridad necesarias y a cumplir con sus obligaciones. En este punto cobra especial importancia la obligación del encargado de notificar las brechas de seguridad a las autoridades de protección de datos, algo que, de no hacerse, puede acarrear fuertes multas. - El destino de los datos al finalizar el contrato
Las partes deben acordar si los datos serán suprimidos o devueltos al responsable una vez terminada la relación contractual. - Colaboración con el responsable para demostrar el cumplimiento
De acuerdo con esta cláusula, el encargado estará obligado a proveer al responsable de toda la información que necesite para demostrar el cumplimiento de sus obligaciones en materia de protección de datos, así como a permitir auditorías o inspecciones.
