520 - Definición y regulación del encargado de tratamiento de datos personales

El encargado de tratamiento de datos personales es aquella persona física o jurídica que, designada por el responsable de tratamiento, se encargará del tratamiento de los precitados datos personales. 

Artículo 4. 8) del RGPD

«(...) "encargado del tratamiento" o "encargado": la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento».

Ahora bien, son varios los considerandos del RGPD que se refieren a esta figura, entre otros, podemos relacionar los siguientes:

a) Considerando 22 del RGPD:

«Todo tratamiento de datos personales en el contexto de las actividades de un establecimiento de un responsable o un encargado del tratamiento en la Unión debe llevarse a cabo de conformidad con el presente Reglamento, independientemente de que el tratamiento tenga lugar en la Unión. Un establecimiento implica el ejercicio de manera efectiva y real de una actividad a través de modalidades estables. La forma jurídica que revistan tales modalidades, ya sea una sucursal o una filial con personalidad jurídica, no es el factor determinante al respecto».

b) Considerando 77 del RGPD:

«Se podrían proporcionar directrices para la aplicación de medidas oportunas y para demostrar el cumplimiento por parte del responsable o del encargado del tratamiento, especialmente con respecto a la identificación del riesgo relacionado con el tratamiento, a su evaluación en términos de origen, naturaleza, probabilidad y gravedad y a la identificación de buenas prácticas para mitigar el riesgo, que revistan, en particular, la forma de códigos de conducta aprobados, certificaciones aprobadas, directrices dadas por el Comité o indicaciones proporcionadas por un delegado de protección de datos. El Comité también puede emitir directrices sobre operaciones de tratamiento que se considere improbable supongan un alto riesgo para los derechos y libertades de las personas físicas, e indicar qué medidas pueden ser suficientes en dichos casos para afrontar el riesgo en cuestión».

c) Considerando 108 del RGPD:

«En ausencia de una decisión por la que se constate la adecuación de la protección de los datos, el responsable o el encargado del tratamiento deben tomar medidas para compensar la falta de protección de datos en un tercer país mediante garantías adecuadas para el interesado. Tales garantías adecuadas pueden consistir en el recurso a normas corporativas vinculantes, a cláusulas tipo de protección de datos adoptadas por la Comisión o por una autoridad de control, o a cláusulas contractuales autorizadas por una autoridad de control».

d) Considerando 109 del RGPD:

«La posibilidad de que el responsable o el encargado del tratamiento recurran a cláusulas tipo de protección de datos adoptadas por la Comisión o una autoridad de control no debe obstar a que los responsables o encargados incluyan las cláusulas tipo de protección de datos en un contrato más amplio, como un contrato entre dos encargados, o a que añadan otras cláusulas o garantías adicionales, siempre que no contradigan, directa o indirectamente, las cláusulas contractuales tipo adoptadas por la Comisión o por una autoridad de control, ni mermen los derechos o las libertades fundamentales de los interesados. Se debe alentar a los responsables y encargados del tratamiento a ofrecer garantías adicionales mediante compromisos contractuales que complementen las cláusulas tipo de protección de datos».

e) Considerando 114 del RGPD:

«En cualquier caso, cuando la Comisión no haya tomado ninguna decisión sobre el nivel adecuado de la protección de datos en un tercer país, el responsable o el encargado del tratamiento deben arbitrar soluciones que garanticen a los interesados derechos exigibles y efectivos con respecto al tratamiento de sus datos en la Unión, una vez transferidos estos, de forma que sigan beneficiándose de derechos fundamentales y garantías».

f) Considerando 115 del RGPD:

«Algunos países terceros adoptan leyes, reglamentaciones y otros actos jurídicos con los que se pretende regular directamente las actividades de tratamiento de personas físicas y jurídicas bajo jurisdicción de los Estados miembros. Esto puede incluir sentencias de órganos jurisdiccionales o decisiones de autoridades administrativas de terceros países que obliguen a un responsable o un encargado del tratamiento a transferir o comunicar datos personales, y que no se basen en un acuerdo internacional, como un tratado de asistencia judicial mutua, en vigor entre el tercer país requirente y la Unión o un Estado miembro. La aplicación extraterritorial de dichas leyes, reglamentaciones y otros actos jurídicos puede ser contraria al Derecho internacional e impedir la protección de las personas físicas garantizada en la Unión en virtud del presente Reglamento. Las transferencias solo deben autorizarse cuando se cumplan las condiciones del presente Reglamento relativas a las transferencias a terceros países. Tal puede ser el caso, entre otros, cuando la comunicación sea necesaria por una razón importante de interés público reconocida por el Derecho de la Unión o de los Estados miembros aplicable al responsable del tratamiento».

g) Considerando 127 del RGPD:

«Cada autoridad de control que no actúa como autoridad principal debe ser competente para tratar asuntos locales en los que, si bien el responsable o el encargado del tratamiento está establecido en más de un Estado miembro, el objeto del tratamiento específico se refiere exclusivamente al tratamiento efectuado en un único Estado miembro y afecta exclusivamente a interesados de ese único Estado miembro, por ejemplo cuando el tratamiento tiene como objeto datos personales de empleados en el contexto específico de empleo de un Estado miembro».

CUESTIONES

1. ¿Quién puede ser considerado tercero en el ámbito del tratamiento de datos?

El tercero es toda «persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado» [artículo 4.10) del RGPD].

2. ¿Quién puede ser considerado representante del encargado del tratamiento?

El representante del responsable o del encargado del tratamiento es la «persona física o jurídica establecida en la Unión que, habiendo sido designada por escrito por el responsable o el encargado del tratamiento con arreglo al artículo 27, represente al responsable o al encargado en lo que respecta a sus respectivas obligaciones en virtud del presente Reglamento» [artículo 4.17) del RGPD].

3. ¿Qué son las normas corporativas vinculantes?

Las normas corporativas vinculantes consisten en «las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta» (artículo 4.20 del RGPD).

4. ¿Cuál es la autoridad de control interesada en el tratamiento de datos?

La autoridad de control afectada por el tratamiento de datos personales, dado que «a) el responsable o el encargado del tratamiento está establecido en el territorio del Estado miembro de esa autoridad de control» [artículo 4.22.a) del RGPD].

Asimismo, en relación con los poderes de las autoridades de control para conseguir del responsable o del encargado del tratamiento acceso a los datos personales, y a sus locales:

- El considerando 164 del RGPD establece: «(...) los Estados miembros pueden adoptar por ley, dentro de los límites fijados por el presente Reglamento, normas específicas con vistas a salvaguardar el deber de secreto profesional u obligaciones equivalentes, en la medida necesaria para conciliar el derecho a la protección de los datos personales con el deber de secreto profesional. Lo anterior se entiende sin perjuicio de las obligaciones existentes para los Estados miembros de adoptar normas sobre el secreto profesional cuando así lo exija el Derecho de la Unión». 

-Atendiendo al considerando 126 del RGPD, el encargado del tratamiento tiene que tomar las medidas necesarias para garantizar el cumplimiento del RGPD y «(...) la aplicación de la decisión notificada por la autoridad de control principal al establecimiento principal del responsable o del encargado en lo que se refiere a las actividades de tratamiento en la Unión».

5. ¿Qué artículos del RGPD se refieren al encargado del tratamiento?

Dentro del RGPD, se hace referencia al encargado de tratamiento en los siguientes artículos:

- Limitaciones (artículo 23 del RGPD).

- Representantes de responsables o encargados del tratamiento no establecidos en la Unión (artículo 27 del RGPD).

- Encargado del tratamiento (artículo 28 del RGPD).

- Tratamiento bajo la autoridad del responsable o del encargado del tratamiento (artículo 29 del RGPD).

- Registro de las actividades de tratamiento (artículo 30 del RGPD).

- Cooperación con la autoridad de control (artículo 31 del RGPD).

- Seguridad del tratamiento (artículo 32 del RGPD).

- Notificación de una violación de la seguridad de los datos personales a la autoridad de control (artículo 33 del RGPD).

- Designación del delegado de protección de datos (artículo 37 del RGPD).

- Posición del delegado de protección de datos (artículo 38 del RGPD).

- Funciones del delegado de protección de datos (artículo 39 del RGPD).

- Supervisión de códigos de conducta aprobados (artículo 41 del RGPD).

- Certificación (artículo 42 del RGPD).

- Organismos de certificación (artículo 43 del RGPD).

- Principio general de las transferencias (artículo 44 del RGPD).

- Transferencias mediante garantías adecuadas (artículo 46 del RGPD).

- Normas corporativas vinculantes (artículo 47 del RGPD).

- Transferencias o comunicaciones no autorizadas por el derecho de la Unión (artículo 48 del RGPD).

- Excepciones para situaciones específicas (artículo 49 del RGPD).

- Competencia de la autoridad de la autoridad de control principal (artículo 56 del RGPD).

- Poderes (artículo 58 del RGPD).

- Cooperación entre la autoridad de control principal y las demás autoridades de control interesadas (artículo 60 del RGPD).

- Operaciones conjuntas de las autoridades de control (artículo 62 del RGPD).

- Resolución de conflictos por el Comité (artículo 65 del RGPD).

- Funciones del Comité (artículo 70 del RGPD).

- Derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento (artículo 79 del RGPD).

- Derecho a indemnización y responsable (artículo 82 del RGPD).

- Condiciones generales para la imposición de multas administrativas (artículo 83 del RGPD).

- Tratamiento y libertad de expresión de información (artículo 85 del RGPD).

- Obligaciones de secreto (artículo 90 del RGPD).

6. ¿En qué casos debe el responsable o el encargado del tratamiento indemnizar los daños y perjuicios consecuencia del tratamiento?

El responsable o el encargado del tratamiento tiene que indemnizar cualquier daño o perjuicio que pueda padecer una persona a consecuencia de un tratamiento que infringe lo estipulado en el RGPD, si bien, conforme al considerando 146 del RGPD, «El responsable o el encargado deben quedar exentos de responsabilidad si se demuestra que en modo alguno son responsables de los daños y perjuicios. El concepto de daños y perjuicios debe interpretarse en sentido amplio a la luz de la jurisprudencia del Tribunal de Justicia, de tal modo que se respeten plenamente los objetivos del presente Reglamento. Lo anterior se entiende sin perjuicio de cualquier reclamación por daños y perjuicios derivada de la vulneración de otras normas del Derecho de la Unión o de los Estados miembros. Un tratamiento en infracción del presente Reglamento también incluye aquel tratamiento que infringe actos delegados y de ejecución adoptados de conformidad con el presente Reglamento y el Derecho de los Estados miembros que especifique las normas del presente Reglamento». 

7. ¿Dónde debe situarse el establecimiento principal del encargado del tratamiento?

El establecimiento principal del encargado del tratamiento será «(...) el lugar de su administración central en la Unión o, si careciese de administración central en la Unión, el lugar en el que se llevan a cabo las principales actividades de tratamiento en la Unión» (considerando 36 del RGPD).

8. ¿En qué funciones debe asistir el encargado del tratamiento al responsable del mismo?

El considerando 95 del RGPD dispone que «el encargado del tratamiento debe asistir al responsable cuando sea necesario y a petición suya, a fin de asegurar que se cumplen las obligaciones que se derivan de la realización de las evaluaciones de impacto relativas a la protección de datos y de la consulta previa a la autoridad de control».

A TENER EN CUENTA. En los supuestos en que el RGPD contiene normas específicas sobre competencia judicial, en particular por lo que respecta a las acciones que tratan de obtener satisfacción por la vía judicial, incluida la indemnización, contra un responsable o encargado del tratamiento, las normas generales de competencia judicial como las establecidas en el Reglamento (UE) n.º 1215/2012 del Parlamento Europeo y del Consejo deben entenderse sin perjuicio de la aplicación de dichas normas específicas (considerando 147 del RGPD).