La figura del encargado de tratamiento viene definida en el artículo 4.8 del RGPD como “la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento”. Es decir, aquella persona que trabaje por encargo de un responsable de tratamiento y que trate datos personales para poder realizar sus servicios.

Un encargado de tratamiento suele ser una empresa externa o tercera que trabaja a cargo del responsable, que es quien elige los fines y los medios del tratamiento. Un encargado puede realizar los tratamientos, ya sean automatizados o no, que el responsable le haya encargado formalmente (recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción) y que quedarán delimitados en el contrato entre las dos partes.

Un ejemplo de encargado de tratamiento sería una asesoría laboral que se encarga de elaborar y gestionar las nóminas de los empleados de otras empresas. En este caso, el responsable de tratamiento (la empresa) transmite a la asesoría los datos de sus empleados (nombre, sueldo, cuenta corriente, etc.) para que la asesoría se encargue de realizar las nóminas a cargo de ésta.

Siguiendo la línea de la Directiva 95/46/CE y del RLOPD, el artículo 28.1 del RGPD establece que antes de contratar a un encargado de tratamiento, el responsable deberá asegurarse de que éste cumple con los requisitos de seguridad necesarios para proteger los intereses de los interesados: “Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado”.

Estas garantías se podrán mostrar con el cumplimiento de códigos de conducta o mecanismos de certificación (art. 28.5 RGPD).

¿Es necesario hacer un contrato entre el encargado y el responsable de tratamiento?

Si. El RGPD establece que el tratamiento por el encargado “se regirá por un contrato u otro acto jurídico que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable”.

En caso de realizarse a través de un acto jurídico, se deberá establecer y definir en él la posición del encargado del tratamiento. Un ejemplo podría ser una resolución administrativa notificada al encargado.

El contrato o acto jurídico suscrito deberá constar por escrito, inclusive en formato electrónico y estipulará, en particular, los siguientes puntos:

• El deber de seguir las instrucciones del responsable de tratamiento.
• El deber de confidencialidad.
• El deber de utilización de las medidas de seguridad adecuadas.
• La subcontratación.
• La atención de derechos y ayuda al responsable en el cumplimiento de sus obligaciones.
• La finalización de servicio.
• Proporcionar evidencias de cumplimiento.

Finalmente es importante mencionar que, en caso de que no se firme un contrato o que éste no cumpla con los requisitos necesarios, se considerará que se ha incurrido en una infracción calificada como grave tanto por el RGPD como la nueva LOPD.

En estos casos, según el artículo 83.4 del RGPD, la AEPD podrá imponer una sanción hasta un máximo de 10.000.000 € o un 2% del volumen máximo de negocio total anual, inclinándose por el de mayor cuantía.

Campos Catafal lleva asesorando y representando a emprendedores, autónomos y empresas desde 1983. Recuerde que el presente artículo es informativo y no sustituye el asesoramiento legal de un abogado. Si desea nuestro asesoramiento profesional sobre este tema, contacte con nosotros.