Última revisión
datos
520 - c
Relacionados:
Vademecum: Datos
Fecha última revisión: 28/05/2024
Resumen:
El RGPD establece el concepto de encargado de tratamiento de datos personales. Esta figura tiene una especial relevancia en el reglamento, siendo esencial para la protección de datos personales en la Unión Europea. Hacemos mención a los «considerando» del mismo RGPD relacionados con el encargado de tratamiento de datos personales, más concretamente, los 22, 77, 108, 109, 114, 115 y 127, los cuales profundizan más en la figura del encargado de tratamiento de datos personales.
Artículo 4. 8) del
«(...) "encargado del tratamiento" o "encargado": la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento».
Ahora bien, son varios los considerandos del
a) Considerando 22 del
«Todo tratamiento de datos personales en el contexto de las actividades de un establecimiento de un responsable o un encargado del tratamiento en la Unión debe llevarse a cabo de conformidad con el presente Reglamento, independientemente de que el tratamiento tenga lugar en la Unión. Un establecimiento implica el ejercicio de manera efectiva y real de una actividad a través de modalidades estables. La forma jurídica que revistan tales modalidades, ya sea una sucursal o una filial con personalidad jurídica, no es el factor determinante al respecto».
b) Considerando 77 del
«Se podrían proporcionar directrices para la aplicación de medidas oportunas y para demostrar el cumplimiento por parte del responsable o del encargado del tratamiento, especialmente con respecto a la identificación del riesgo relacionado con el tratamiento, a su evaluación en términos de origen, naturaleza, probabilidad y gravedad y a la identificación de buenas prácticas para mitigar el riesgo, que revistan, en particular, la forma de códigos de conducta aprobados, certificaciones aprobadas, directrices dadas por el Comité o indicaciones proporcionadas por un delegado de protección de datos. El Comité también puede emitir directrices sobre operaciones de tratamiento que se considere improbable supongan un alto riesgo para los derechos y libertades de las personas físicas, e indicar qué medidas pueden ser suficientes en dichos casos para afrontar el riesgo en cuestión».
c) Considerando 108 del
«En ausencia de una decisión por la que se constate la adecuación de la protección de los datos, el responsable o el encargado del tratamiento deben tomar medidas para compensar la falta de protección de datos en un tercer país mediante garantías adecuadas para el interesado. Tales garantías adecuadas pueden consistir en el recurso a normas corporativas vinculantes, a cláusulas tipo de protección de datos adoptadas por la Comisión o por una autoridad de control, o a cláusulas contractuales autorizadas por una autoridad de control».
d) Considerando 109 del
«La posibilidad de que el responsable o el encargado del tratamiento recurran a cláusulas tipo de protección de datos adoptadas por la Comisión o una autoridad de control no debe obstar a que los responsables o encargados incluyan las cláusulas tipo de protección de datos en un contrato más amplio, como un contrato entre dos encargados, o a que añadan otras cláusulas o garantías adicionales, siempre que no contradigan, directa o indirectamente, las cláusulas contractuales tipo adoptadas por la Comisión o por una autoridad de control, ni mermen los derechos o las libertades fundamentales de los interesados. Se debe alentar a los responsables y encargados del tratamiento a ofrecer garantías adicionales mediante compromisos contractuales que complementen las cláusulas tipo de protección de datos».
e) Considerando 114 del
«En cualquier caso, cuando la Comisión no haya tomado ninguna decisión sobre el nivel adecuado de la protección de datos en un tercer país, el responsable o el encargado del tratamiento deben arbitrar soluciones que garanticen a los interesados derechos exigibles y efectivos con respecto al tratamiento de sus datos en la Unión, una vez transferidos estos, de forma que sigan beneficiándose de derechos fundamentales y garantías».
f) Considerando 115 del
«Algunos países terceros adoptan leyes, reglamentaciones y otros actos jurídicos con los que se pretende regular directamente las actividades de tratamiento de personas físicas y jurídicas bajo jurisdicción de los Estados miembros. Esto puede incluir sentencias de órganos jurisdiccionales o decisiones de autoridades administrativas de terceros países que obliguen a un responsable o un encargado del tratamiento a transferir o comunicar datos personales, y que no se basen en un acuerdo internacional, como un tratado de asistencia judicial mutua, en vigor entre el tercer país requirente y la Unión o un Estado miembro. La aplicación extraterritorial de dichas leyes, reglamentaciones y otros actos jurídicos puede ser contraria al Derecho internacional e impedir la protección de las personas físicas garantizada en la Unión en virtud del presente Reglamento. Las transferencias solo deben autorizarse cuando se cumplan las condiciones del presente Reglamento relativas a las transferencias a terceros países. Tal puede ser el caso, entre otros, cuando la comunicación sea necesaria por una razón importante de interés público reconocida por el Derecho de la Unión o de los Estados miembros aplicable al responsable del tratamiento».
g) Considerando 127 del
«Cada autoridad de control que no actúa como autoridad principal debe ser competente para tratar asuntos locales en los que, si bien el responsable o el encargado del tratamiento está establecido en más de un Estado miembro, el objeto del tratamiento específico se refiere exclusivamente al tratamiento efectuado en un único Estado miembro y afecta exclusivamente a interesados de ese único Estado miembro, por ejemplo cuando el tratamiento tiene como objeto datos personales de empleados en el contexto específico de empleo de un Estado miembro».
CUESTIONES
1. ¿Quién puede ser considerado tercero en el ámbito del tratamiento de datos?
El tercero es toda «persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado» [artículo 4.10) del RGPD].
2. ¿Quién puede ser considerado representante del encargado del tratamiento?
El representante del responsable o del encargado del tratamiento es la «persona física o jurídica establecida en la Unión que, habiendo sido designada por escrito por el responsable o el encargado del tratamiento con arreglo al artículo 27, represente al responsable o al encargado en lo que respecta a sus respectivas obligaciones en virtud del presente Reglamento» [artículo 4.17) del RGPD].
3. ¿Qué son las normas corporativas vinculantes?
Las normas corporativas vinculantes consisten en «las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta» (artículo 4.20 del
4. ¿Cuál es la autoridad de control interesada en el tratamiento de datos?
La autoridad de control afectada por el tratamiento de datos personales, dado que «a) el responsable o el encargado del tratamiento está establecido en el territorio del Estado miembro de esa autoridad de control» [artículo 4.22.a) del RGPD].
Asimismo, en relación con los poderes de las autoridades de control para conseguir del responsable o del encargado del tratamiento acceso a los datos personales, y a sus locales:
- El considerando 164 del
-Atendiendo al considerando 126 del
5. ¿Qué artículos del
Dentro del
- Limitaciones (artículo 23 del
- Representantes de responsables o encargados del tratamiento no establecidos en la Unión (artículo 27 del
- Encargado del tratamiento (artículo 28 del
- Tratamiento bajo la autoridad del responsable o del encargado del tratamiento (artículo 29 del
- Registro de las actividades de tratamiento (artículo 30 del
- Cooperación con la autoridad de control (artículo 31 del
- Seguridad del tratamiento (artículo 32 del
- Notificación de una violación de la seguridad de los datos personales a la autoridad de control (artículo 33 del
- Designación del delegado de protección de datos (artículo 37 del
- Posición del delegado de protección de datos (artículo 38 del
- Funciones del delegado de protección de datos (artículo 39 del
- Supervisión de códigos de conducta aprobados (artículo 41 del
- Certificación (artículo 42 del
- Organismos de certificación (artículo 43 del
- Principio general de las transferencias (artículo 44 del
- Transferencias mediante garantías adecuadas (artículo 46 del
- Normas corporativas vinculantes (artículo 47 del
- Transferencias o comunicaciones no autorizadas por el derecho de la Unión (artículo 48 del
- Excepciones para situaciones específicas (artículo 49 del
- Competencia de la autoridad de la autoridad de control principal (artículo 56 del
- Poderes (artículo 58 del
- Cooperación entre la autoridad de control principal y las demás autoridades de control interesadas (artículo 60 del
- Operaciones conjuntas de las autoridades de control (artículo 62 del
- Resolución de conflictos por el Comité (artículo 65 del
- Funciones del Comité (artículo 70 del
- Derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento (artículo 79 del
- Derecho a indemnización y responsable (artículo 82 del
- Condiciones generales para la imposición de multas administrativas (artículo 83 del
- Tratamiento y libertad de expresión de información (artículo 85 del
- Obligaciones de secreto (artículo 90 del
6. ¿En qué casos debe el responsable o el encargado del tratamiento indemnizar los daños y perjuicios consecuencia del tratamiento?
El responsable o el encargado del tratamiento tiene que indemnizar cualquier daño o perjuicio que pueda padecer una persona a consecuencia de un tratamiento que infringe lo estipulado en el
7. ¿Dónde debe situarse el establecimiento principal del encargado del tratamiento?
El establecimiento principal del encargado del tratamiento será «(...) el lugar de su administración central en la Unión o, si careciese de administración central en la Unión, el lugar en el que se llevan a cabo las principales actividades de tratamiento en la Unión» (considerando 36 del
8. ¿En qué funciones debe asistir el encargado del tratamiento al responsable del mismo?
El considerando 95 del
A TENER EN CUENTA. En los supuestos en que el RGPD contiene normas específicas sobre competencia judicial, en particular por lo que respecta a las acciones que tratan de obtener satisfacción por la vía judicial, incluida la indemnización, contra un responsable o encargado del tratamiento, las normas generales de competencia judicial como las establecidas en el Reglamento (UE) n.º 1215/2012 del Parlamento Europeo y del Consejo deben entenderse sin perjuicio de la aplicación de dichas normas específicas (considerando 147 del