Consulte el PDF
Si bien anteriormente la Directiva 95/46 de Protección de Datos Personales centraba su foco de atención en las actividades de los titulares de los ficheros -es decir los responsables de los datos- el nuevo Reglamento General de Protección de Datos Personales (Reglamento (UE) 679/2016, RGDP), sin perder de vista a los anteriores, estableció una serie de obligaciones propias a los encargados del tratamiento, las cuales pueden ser supervisadas y sancionadas directamente por la Autoridad de Control en la materia (Agencia Española de Protección de Datos).
¿Quién es un Encargado de Tratamiento de Datos?
El RGPD define al “encargado del tratamientos” como a toda persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento. Entendiendo por tratamiento cualquier operación realizada sobre datos personales, ya sea por procedimientos automatizados o no (art. 4 del RGPD).
Es así que será encargado todo aquel que a modo de ejemplo recoja, registre, estructure, conserve, adapte o modifique, extraiga, consulte, utilice, comunique, difunda, e incluso suprima o destruya datos personales por instrucción del responsable de los datos (el titular del fichero). Ejemplos típicos son las gestorías, mutuas, empresas de prevención de riesgos, mantenimiento informáticos, empresas de seguridad, destructoras de documentación, etc.
¿Qué obligaciones tiene el Encargado de Tratamiento?
Las obligaciones propias que ahora recaen sobre en los encargados del tratamiento son:
- Suscribir un contrato u acto jurídico con el responsable de los datos personales con el contenido mínimo establecido por la regulación (art 28 del RGPD).
- Designar un representante en el territorio de la Unión Europea cuando el Encargado se ubique fuera de ésta y los datos refieran a interesados que residan en la misma (art. 27 del RGDP).
- Mantener un registro de actividades de tratamiento, cuando se cumplan con los requisitos establecidos por el RGPD (art. 30RGPD).
- Cooperar con la Autoridad de Control, facilitando la información que esta le solicite y cumpliendo lo que esta ordene en el desempeño de sus funciones (art. 31del RGPD).
- Adoptar las medidas de seguridad aplicables a los tratamientos que lleven a cabo en atención a las circunstancias del caso concreto (art. 32 del RGPD).
- Comunicar las violaciones de seguridad que tenga conocimiento al responsable sin dilación indebida, para lo que se establecerá un procedimiento adecuado de comunicación (art. 2 del RGPD).
- Designar a un Delegado de Protección de Datos en los casos previstos en los Artículos 37 del RGPD y 34 de la LOPDGDD.
¿Puede ser sancionado el Encargado de Tratamiento?
El Artículo 70 de la Ley Orgánica 3/2018 de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales establece que los encargados del tratamiento estarán sujetos al régimen sancionador establecido por el RGDP y la mencionada ley.
Es decir, que a partir de la entrada en vigencia del RGPD los encargados del tratamiento son directamente responsables por las obligaciones que sobre ellos impone la normativa. Siendo su incumplimiento susceptible tanto de sanciones administrativas como de reclamos indemnizatorios por parte de los titulares de los datos.
© La presente información es propiedad de Escura, abogados y economistas, quedando prohibida su reproducción sin permiso expreso.