L’ encarregat de tractament en el RGPD

19/05/2017

La figura de l’encarregat de tractament ve definida en l’article 4.8 del RGPD com “la persona física o jurídica, autoritat pública, servei o un altre organisme que tracti dades personals per compte del responsable del tractament”. És a dir, aquella persona que treballi per encàrrec d’un responsable de tractament i que tracti dades personals per a poder realitzar els seus serveis.

Un encarregat de tractament sol ser una empresa externa o tercera que treballa a càrrec del responsable, que és qui tria la finalitat i els mitjans del tractament. Un encarregat pot realitzar els tractaments, ja siguin automatitzats o no, que el responsable li hagi encarregat formalment (recollida, registre, organització, estructuració, conservació, adaptació o modificació, extracció, consulta, utilització, comunicació per transmissió, difusió o qualsevol altra forma d’habilitació d’accés, confrontació o interconnexió, limitació, supressió o destrucció) i que quedaran delimitats al contracte entre les dues parts.

Un exemple d’encarregat de tractament seria una assessoria laboral que s’encarrega d’elaborar i gestionar les nòmines dels empleats d’altres empreses. En aquest cas, el responsable de tractament (l’empresa) transmet a l’assessoria les dades dels seus empleats (nom, sou, compte corrent, etc.) perquè l’assessoria s’encarregui de realitzar les nòmines a càrrec d’aquesta.

Seguint la línia de la Directiva 95/46 / CE i del RLOPD, l’article 28.1 del RGPD estableix que abans de contractar un encarregat de tractament, el responsable s’ha d’assegurar que aquest compleix amb els requisits de seguretat necessaris per protegir els interessos dels interessats: “Quan es vagi a realitzar un tractament per compte d’un responsable del tractament, aquest triarà únicament un encarregat que ofereixi garanties suficients per aplicar mesures tècniques i organitzatives apropiats, de manera que el tractament sigui conforme amb els requisits d’aquest Reglament i garanteixi la protecció dels drets de l’interessat.”

Aquestes garanties es podran mostrar amb el compliment de codis de conducta o mecanismes de certificació (art. 28.5 RGPD).

És necessari fer un contracte entre l’encarregat i el responsable de tractament?

Si. El RGPD estableix que el tractament de l’encarregat “es regirà per un contracte o un altre acte jurídic que vinculi l’encarregat respecte del responsable i estableixi l’objecte, la durada, la naturalesa i la finalitat del tractament, el tipus de dades personals i categories de interessats, i les obligacions i drets del responsable.”

En cas de realitzar-se a través d’un acte jurídic, s’haurà d’establir i definir-hi la posició de l’encarregat del tractament. Un exemple podria ser una resolució administrativa notificada a l’encarregat.

El contracte o acte jurídic subscrit ha de constar per escrit, inclusivament en format electrònic i estipularà, en particular, els següents punts:

  • El deure de seguir les instruccions del responsable de tractament.
  • El deure de confidencialitat.
  • El deure d’utilització de les mesures de seguretat adequades.
  • La subcontractació.
  • L’atenció de drets i ajuda al responsable en el compliment de les seves obligacions.
  • La finalització de servei.
  • Proporcionar evidències de compliment.

Finalment és important esmentar que, en cas que no es signi un contracte o que aquest no compleixi amb els requisits necessaris, es considerarà que s’ha incorregut en una infracció qualificada com a greu tant pel RGPD com la nova LOPD.

En aquests casos, segons l’article 83.4 del RGPD, l’AEPD podrà imposar una sanció fins a un màxim de 10.000.000 € o un 2% del volum màxim de negoci total anual, inclinant-se per el de més quantia.

 

Campos Catafal porta assessorant i representant a emprenedors, autònoms i empreses des de 1983. Recordeu que el present article és informatiu i no substitueix l’assessorament legal d’un advocat. Si vol el nostre assessorament professional sobre aquest tema, contacti amb nosaltres.


© Campos Catafal Advocats SCP | Advocats Barcelona | +34 932 070 569 | info@camposcatafal.com

Aquest lloc utilitza cookies i tecnologies similars per oferir-li una navegació a mida i millorar els nostres serveis, així com per finalitats estadístiques. Si continua navegant per aquest lloc, accepta que n'ha estat degudament informat. Més informació

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Tancar