530 - ¿Cuáles son y dónde se regulan las obligaciones de un encargado de tratamiento de datos personales?

El encargado de tratamiento, como persona física o jurídica designada por el responsable de tratamiento, tendrá las siguientes obligaciones a su cargo:

• Actuar bajo las instrucciones del responsable de tratamiento.
• Garantizar que las personas autorizadas para tratar los datos respeten la confidencialidad de los mismos.
• Tomar todas las medidas de seguridad en el tratamiento de datos.
• Suprimir aquellos datos finalizada la prestación (según el criterio del responsable de tratamiento).

Obligaciones del encargado del tratamiento de datos en la LOPDGDD

Artículo 33 de la LOPDGDD

«1. El acceso por parte de un encargado de tratamiento a los datos personales que resulten necesarios para la prestación de un servicio al responsable no se considerará comunicación de datos siempre que se cumpla lo establecido en el Reglamento (UE) 2016/679, en la presente ley orgánica y en sus normas de desarrollo.

2. Tendrá la consideración de responsable del tratamiento y no la de encargado quien en su propio nombre y sin que conste que actúa por cuenta de otro, establezca relaciones con los afectados aun cuando exista un contrato o acto jurídico con el contenido fijado en el artículo 28.3 del Reglamento (UE) 2016/679. Esta previsión no será aplicable a los encargos de tratamiento efectuados en el marco de la legislación de contratación del sector público.

Tendrá asimismo la consideración de responsable del tratamiento quien figurando como encargado utilizase los datos para sus propias finalidades.

3. El responsable del tratamiento determinará si, cuando finalice la prestación de los servicios del encargado, los datos personales deben ser destruidos, devueltos al responsable o entregados, en su caso, a un nuevo encargado.

No procederá la destrucción de los datos cuando exista una previsión legal que obligue a su conservación, en cuyo caso deberán ser devueltos al responsable, que garantizará su conservación mientras tal obligación persista.

4. El encargado del tratamiento podrá conservar, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el responsable del tratamiento.

5. En el ámbito del sector público podrán atribuirse las competencias propias de un encargado del tratamiento a un determinado órgano de la Administración General del Estado, la Administración de las comunidades autónomas, las Entidades que integran la Administración Local o a los Organismos vinculados o dependientes de las mismas mediante la adopción de una norma reguladora de dichas competencias, que deberá incorporar el contenido exigido por el artículo 28.3 del Reglamento (UE) 2016/679».

En suma, el acceso del encargado del tratamiento a datos personales necesarios para la prestación de un servicio al responsable no se estimará comunicación de datos siempre y cuando cumpla lo dispuesto en las siguientes normas:

• RGPD.
• LOPDGDD.
• Normas de desarrollo.

Además, el responsable del tratamiento establecerá, cuando termine la prestación de los servicios del encargado, los datos personales que tienen que ser:

• Destruidos.
• Devueltos al responsable del tratamiento.
• Entregados a un nuevo encargado del tratamiento.

CUESTIONES

1. ¿Quién tendrá la consideración de responsable del tratamiento?

Según lo dispuesto en el apartado segundo del artículo 33 de la LOPDGDD, tendrá la consideración del responsable del tratamiento «(...) quien en su propio nombre y sin que conste que actúa por cuenta de otro, establezca relaciones con los afectados aun cuando exista un contrato o acto jurídico con el contenido fijado en el artículo 28.3 del Reglamento (UE) 2016/679. Esta previsión no será aplicable a los encargos de tratamiento efectuados en el marco de la legislación de contratación del sector público».

A su vez, atendiendo al segundo párrafo del mencionado apartado, también tendrá consideración de responsable de tratamiento «(...) quien figurando como encargado utilizase los datos para sus propias finalidades».

2. ¿Tendrá que conservar el encargado del tratamiento los datos de los que pudieran derivarse responsabilidades?

El encargado del tratamiento de datos tendrá la posibilidad de conservar los datos, debidamente bloqueados, mientras pueda generarse responsabilidades vinculadas a su relación con el responsable del tratamiento (artículo. 33.4 de la LOPDGDD).

A TENER EN CUENTA. En el ámbito del sector público podrán atribuirse las competencias propias de un encargado del tratamiento a un determinado órgano de la Administración General del Estado, la Administración de las comunidades autónomas, las entidades que integran la Administración local o a los organismos vinculados o dependientes de las mismas mediante la adopción de una norma reguladora de dichas competencias, que deberá incorporar el contenido exigido por el artículo 28.3 del RGPD (artículo 33.5 de la LOPDGDD).

Obligaciones del encargado del tratamiento de datos en el RGPD

Artículo 28 del RGPD

«1. Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.

2. El encargado del tratamiento no recurrirá a otro encargado sin la autorización previa por escrito, específica o general, del responsable. En este último caso, el encargado informará al responsable de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al responsable la oportunidad de oponerse a dichos cambios.

3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:

a) tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado; en tal caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público;

b) garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza legal;

c) tomará todas las medidas necesarias de conformidad con el artículo 32;

d) respetará las condiciones indicadas en los apartados 2 y 4 para recurrir a otro encargado del tratamiento;

e) asistirá al responsable, teniendo en cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el capítulo III;

f) ayudará al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado;

g) a elección del responsable, suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros;

h) pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.

En relación con lo dispuesto en la letra h) del párrafo primero, el encargado informará inmediatamente al responsable si, en su opinión, una instrucción infringe el presente Reglamento u otras disposiciones en materia de protección de datos de la Unión o de los Estados miembros.

4. Cuando un encargado del tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del responsable, se impondrán a este otro encargado, mediante contrato u otro acto jurídico establecido con arreglo al Derecho de la Unión o de los Estados miembros, las mismas obligaciones de protección de datos que las estipuladas en el contrato u otro acto jurídico entre el responsable y el encargado a que se refiere el apartado 3, en particular la prestación de garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conforme con las disposiciones del presente Reglamento. Si ese otro encargado incumple sus obligaciones de protección de datos, el encargado inicial seguirá siendo plenamente responsable ante el responsable del tratamiento por lo que respecta al cumplimiento de las obligaciones del otro encargado.

5. La adhesión del encargado del tratamiento a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá utilizarse como elemento para demostrar la existencia de las garantías suficientes a que se refieren los apartados 1 y 4 del presente artículo.

6. Sin perjuicio de que el responsable y el encargado del tratamiento celebren un contrato individual, el contrato u otro acto jurídico a que se refieren los apartados 3 y 4 del presente artículo podrá basarse, total o parcialmente, en las cláusulas contractuales tipo a que se refieren los apartados 7 y 8 del presente artículo, inclusive cuando formen parte de una certificación concedida al responsable o encargado de conformidad con los artículos 42 y 43.

7. La Comisión podrá fijar cláusulas contractuales tipo para los asuntos a que se refieren los apartados 3 y 4 del presente artículo, de acuerdo con el procedimiento de examen a que se refiere el artículo 93, apartado 2.

8. Una autoridad de control podrá adoptar cláusulas contractuales tipo para los asuntos a que se refieren los apartados 3 y 4 del presente artículo, de acuerdo con el mecanismo de coherencia a que se refiere el artículo 63.

9. El contrato u otro acto jurídico a que se refieren los apartados 3 y 4 constará por escrito, inclusive en formato electrónico.

10. Sin perjuicio de lo dispuesto en los artículos 82, 83 y 84, si un encargado del tratamiento infringe el presente Reglamento al determinar los fines y medios del tratamiento, será considerado responsable del tratamiento con respecto a dicho tratamiento».

Es decir, el responsable del tratamiento de datos elegirá un encargado que preste garantías suficientes para aplicar las medidas (técnicas y organizativas) adecuadas, de modo que aquel sea conforme con el RGPD y asegure la protección de los derechos del interesado.

Si bien, el tratamiento por el encargado se guiará por un contrato u otro instrumento jurídico de acuerdo con el derecho de la Unión Europea o de los Estados miembros, que relacione al encargado respecto del responsable del mismo, y fije los siguientes elementos:

• El objeto del tratamiento.
• La duración del tratamiento.
• La naturaleza y la finalidad del tratamiento.
• El tipo de datos personales y categorías de interesados.
• Las obligaciones y derechos del responsable.

En concreto, el citado contrato u acto jurídico determinará, que el encargado del tratamiento de datos:

a) Tratará los datos personales siguiendo instrucciones documentadas del responsable del tratamiento de datos.

b) Garantizará el compromiso de confidencialidad o la obligación de confidencialidad de origen legal de las personas autorizadas para tratar datos personales.

c) Adoptará las medidas necesarias de conformidad con el artículo 32 del RGPD.

d) Respetará las condiciones indicadas en los apartados 2 y 4 del artículo 28 del RGPD para recurrir a otro encargado del tratamiento.

e) Asistirá al responsable del tratamiento.

f) Ayudará  al responsable del tratamiento a garantizar el cumplimiento de las obligaciones reguladas en los artículos 32 a 36 del RGPD, teniendo en cuenta:

- La naturaleza del tratamiento.

- La información a disposición del encargado.

g) Suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud del derecho de la Unión o de los Estados miembros, a elección del responsable del tratamiento.

h) Comunicará al responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 del RGPD (auditorías, inspecciones...). 

En relación con lo dispuesto, el encargado del tratamiento informará inmediatamente al responsable si, en su opinión, una instrucción vulnera el RGPD u otras disposiciones en materia de protección de datos de la Unión Europea o de los Estados miembros.

De igual modo el considerando 81 del RGPD declara que «el tratamiento por un encargado debe regirse por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros que vincule al encargado con el responsable, que fije el objeto y la duración del tratamiento, la naturaleza y fines del tratamiento, el tipo de datos personales y las categorías de interesados, habida cuenta de las funciones y responsabilidades específicas del encargado en el contexto del tratamiento que ha de llevarse a cabo y del riesgo para los derechos y libertades del interesado. El responsable y el encargado pueden optar por basarse en un contrato individual o en cláusulas contractuales tipo que adopte directamente la Comisión o que primero adopte una autoridad de control de conformidad con el mecanismo de coherencia y posteriormente la Comisión. Una vez finalizado el tratamiento por cuenta del responsable, el encargado debe, a elección de aquel, devolver o suprimir los datos personales, salvo que el Derecho de la Unión o de los Estados miembros aplicable al encargado del tratamiento obligue a conservar los datos».

A TENER EN CUENTA. Cuando un encargado del tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del responsable, se impondrán a este otro encargado, mediante contrato u otro acto jurídico establecido con arreglo al derecho de la Unión o de los Estados miembros, las mismas obligaciones de protección de datos que las estipuladas en el contrato u otro acto jurídico entre el responsable y el encargado a que se refiere el apartado 3 del artículo 28 del RGPD, en particular la prestación de garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conforme con las disposiciones del RGPD. Si ese otro encargado incumple sus obligaciones de protección de datos, el encargado inicial seguirá siendo plenamente responsable ante el responsable del tratamiento por lo que respecta al cumplimiento de las obligaciones del otro encargado (artículo 28.4 del RGPD).

CUESTIONES

1. ¿Podrá el encargado del tratamiento recurrir a otro encargado?

Tal y como dispone el apartado segundo del artículo 28 del RGPD, el encargado del tratamiento no podrá recurrir a otro encargado «(...) sin la autorización previa por escrito, específica o general, del responsable. En este último caso, el encargado informará al responsable de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al responsable la oportunidad de oponerse a dichos cambios».

2. ¿En qué asuntos podrán las autoridades de control establecer cláusulas contractuales?

Según lo dispuesto en el apartado 8 del artículo 28 del RGPD, una autoridad de control podrá configurar cláusulas contractuales tipo para los asuntos referidos en los apartados 3 y 4 del artículo 28, de conformidad con el mecanismo de coherencia del artículo 63 del mismo texto legal.

3. ¿Constará por escrito el contrato a que se refieren los apartados 3 y 4 del artículo 28 del RGPD?

Sí, el contrato u acto jurídico referido en los apartados 3 y 4 del artículo 28 del RGPD «constará por escrito, inclusive en formato electrónico» (artículo 28.7 del RGPD).

4. ¿Qué sucederá si el encargado del tratamiento infringe el RGPD al establecer los fines y medios del tratamiento de datos?

Sin perjuicio de lo establecido en los artículos 82, 83 y 84 del RGPD, si el encargado del tratamiento infringe el RGPD al determinar los fines y medios del tratamiento de datos se considerará responsable del tratamiento en relación con el mismo (artículo 28.10 del RGPD).

5. ¿Cómo se podrán demostrar las garantías referidas en el apartado 1 y 4 del artículo 28 del RGPD?

Partiendo de lo establecido en el artículo 28.5 del RGPD, podrá utilizarse como elemento para demostrar las garantías de los apartados 1 y 4 del artículo 28 del RGPD, la adhesión por parte del encargado del tratamiento a:

- Un código de conducta aprobado en virtud del art. 40 del RGPD.

- Un mecanismo de certificación aprobado en virtud del art. 42 del RGPD. 

6. ¿Podrá la Comisión fijar cláusulas contractuales tipo para los asuntos referidos en los apartados 3 y 4 del artículo 28 del RGPD?

Sí, la Comisión podrá establecer cláusulas contractuales tipo para los citados asuntos conforme al procedimiento de examen del artículo 93.2 del RGPD (artículo 28.7 del RGPD).

7. ¿Deberá el encargado del tratamiento tratar los datos siguiendo las instrucciones del responsable del tratamiento?

Sí, según lo dispuesto en el artículo 29 del RGPD, el encargado del tratamiento de datos «(...) y cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo podrán tratar dichos datos siguiendo instrucciones del responsable, a no ser que estén obligados a ello en virtud del Derecho de la Unión o de los Estados miembros».

8. ¿Debe contar el encargado del tratamiento con la ayuda de algún profesional con conocimientos jurídicos?

El considerando 97 del RGPD declara que, al controlar la observancia interna del RGPD, «(...) el responsable o el encargado del tratamiento debe contar con la ayuda de una persona con conocimientos especializados del Derecho y la práctica en materia de protección de datos si el tratamiento lo realiza una autoridad pública, a excepción de los tribunales u otras autoridades judiciales independientes en el ejercicio de su función judicial, si el tratamiento lo realiza en el sector privado un responsable cuyas actividades principales consisten en operaciones de tratamiento a gran escala que requieren un seguimiento habitual y sistemático de los interesados, o si las actividades principales del responsable o del encargado consisten en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales».

A TENER EN CUENTA. Sin perjuicio de que el responsable y el encargado del tratamiento celebren un contrato individual, el contrato u otro acto jurídico a que se refieren los apartados 3 y 4 del artículo 28 del RGPD podrá basarse, total o parcialmente, en las cláusulas contractuales tipo a que se refieren los apartados 7 y 8 del RGPD, inclusive cuando formen parte de una certificación concedida al responsable o encargado de conformidad con los artículos 42 y 43 del mismo texto legal (artículo 28.6 del RGPD).