¿Quién es este actor?
Un encargado del tratamiento se define en el art. 4(8) del RGPD como una “persona física o jurídica, autoridad pública, agencia u otro organismo que trate datos personales por cuenta del responsable del tratamiento”. Esto demuestra que una gran variedad de entidades pueden ser consideradas encargadas del tratamiento siempre que sean entidades distintas del responsable del tratamiento y que el tratamiento se realice por cuenta del responsable. Por supuesto, los responsables del tratamiento también pueden tratar ellos mismos los datos personales. Sin embargo, seguirán siendo responsables del tratamiento si no sólo tratan los datos personales, sino que también determinan los medios y los fines del tratamiento.
¿Cuáles son sus tareas?
El encargado del tratamiento trata los datos personales por cuenta del responsable del tratamiento. El encargado del tratamiento tiene que aplicar las medidas organizativas y técnicas adecuadas para garantizar la protección de los datos. El tratamiento en sí puede ser tanto una tarea específica y detallada como un tratamiento más general. Por lo tanto, un responsable del tratamiento también puede decidir delegar sólo una parte específica del tratamiento a un encargado externo, y llevar a cabo partes del tratamiento él mismo.
El tratamiento de los datos personales se realiza bajo las instrucciones del responsable del tratamiento. Por lo tanto, los datos personales no deben ser tratados de manera diferente a la acordada con el responsable del tratamiento.
Un encargado del tratamiento puede designar subencargados, pero para ello necesitará el consentimiento por escrito del responsable del tratamiento.El subencargado o subencargados del tratamiento deben tratar los datos en las mismas condiciones que el encargado original.
¿Cuáles son sus derechos y responsabilidades?
El encargado del tratamiento actúa bajo las instrucciones y condiciones del responsable del tratamiento. No obstante, el encargado del tratamiento puede utilizar y elegir, hasta cierto punto, los medios técnicos y organizativos que considere más adecuados para el tratamiento. Sin embargo, este nivel de influencia[1] del encargado del tratamiento no está definido, lo que significa que la opción más segura sería acordar por contrato un conjunto de medios entre el encargado y el responsable del tratamiento. También se puede distinguir entre medios esenciales (qué datos, de quién, durante cuánto tiempo, quién debe acceder a ellos) y no esenciales (aspectos prácticos y técnicos del tratamiento) del tratamiento. Los medios esenciales deben ser facilitados claramente por el responsable del tratamiento, ya que están vinculados a los fines del mismo. Los medios no esenciales pueden ser discutidos por el procesador para implementar y ejecutar el tratamiento. Sin embargo, como ya se ha discutido anteriormente, esta cuestión ha de ser objeto de estudio en cada caso.
En cuanto a las responsabilidades, el encargado del tratamiento tiene que ofrecer “garantías suficientes” (artículo 28, apartado 1, del RGPD) de que el tratamiento cumple los requisitos del RGPD. Estas garantías son esenciales, ya que el responsable del tratamiento tiene la obligación de utilizar únicamente procesadores que puedan ofrecer dichas garantías y demostrar el cumplimiento del RGPD y la protección de los interesados. El artículo 28(3)(a-h) del RGPD enumera toda la información que debe incluirse en un contrato escrito entre el encargado del tratamiento y el responsable del mismo antes de que se procesen los datos. Esto significa que el encargado del tratamiento sólo debe actuar siguiendo las instrucciones escritas del responsable del tratamiento y garantiza la seguridad y confidencialidad de los datos, así como la documentación de todas las actividades de tratamiento. El apartado 2 del artículo 30 del RGPD establece que cada encargado del tratamiento debe “mantener un registro de todas las categorías de actividades de tratamiento realizadas en nombre de un responsable del tratamiento”.
Ejemplo:
La institución de investigación A ha reunido una gran base de datos que contiene datos personales de los sujetos a través de un cuestionario. La institución A asigna a la empresa de análisis de datos B la tarea de analizar los datos para encontrar relaciones ocultas en ellos. En este ejemplo, A actúa como responsable del tratamiento, ya que determina los fines y los medios del tratamiento, mientras que B actúa como encargado del tratamiento, que lo lleva a cabo en nombre del responsable. La empresa de análisis de datos B decide ahora utilizar los datos personales para sus propios fines, que no han sido acordados contractualmente.
Con este tratamiento posterior de los datos personales, B se convierte en un controlador para este nuevo tipo de tratamiento. Con estas acciones, B también infringe el RGPD[2]. En consecuencia, la institución B se encuentra en la situación de que se le imponga una multa administrativa por cualquier infracción del RGPD que pueda derivarse del nuevo tratamiento, incluida la posible violación de los datos personales. Además, en ese caso, la institución A no tiene ninguna responsabilidad por el incidente mencionado. La institución A debería haber elegido un encargado del tratamiento más adecuado y haber obtenido de antemano garantías sobre el tratamiento conforme de los datos. Los acuerdos contractuales se utilizan para definir claramente las funciones, los derechos y las obligaciones/responsabilidades de todas las partes en el tratamiento de los datos personales.
- Para más información sobre este nivel de competencia y la distinción entre medios esenciales y no esenciales, véase:https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202007_controllerprocessor_en.pdf p.14 ↑
- https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202007_controllerprocessor_en.pdf p.25 ↑