Continuando con el análisis del RGPD, hoy damos paso a la figura del encargado del tratamiento.
El art. 28 de la norma europea manifiesta que “el responsable del tratamiento elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado”.
A su vez, el considerando 81 añade que, en particular, el responsable atenderá a los conocimientos especializados, fiabilidad y recursos del encargado de tratamiento, de cara a la aplicación de las medidas técnicas y organizativas que cumplan los requisitos del Reglamento.
Como ya sucedía hasta ahora, el tratamiento por un encargado debe regirse por un contrato o acto jurídico, y en concreto, el Reglamento enumera en su art. 28.3 su contenido mínimo.
Dicho contrato o acto jurídico, debe establecer el objeto, duración, la naturaleza y finalidad del tratamiento, el tipo de datos personales y categorías de interesados, así como las obligaciones y derechos del responsable, todo ello habida cuenta de las funciones y responsabilidades específicas del encargado en el contexto del tratamiento que se lleve a cabo.
Tal contrato debe estipular:
– Que el encargado realizará el tratamiento siguiendo las instrucciones documentadas del responsable, inclusive en relación a las transferencias de datos personales a un tercer país o una organización internacional.
– Garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria.
– Que tomará las medidas necesarias de conformidad con el art. 32 del Reglamento “Seguridad del Tratamiento”. Del mismo modo que el responsable, el encargado del tratamiento debe aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo que en su caso incluya.
– El encargado respetará las condiciones indicadas en el reglamento para recurrir a otro encargado de tratamiento.
– Tendrá que asistir al responsable para que éste pueda dar cumplimiento a su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados. Asimismo, ayudará al responsable a garantizar el cumplimiento de las obligaciones previstas en los artículos 32 a 36 del Reglamento, esto es, respecto de la seguridad de los datos y la evaluación de impacto.
– Finalizado el tratamiento, el encargado debe, a elección de aquel, devolver o suprimir los datos personales, salvo que se requiera la conservación de dichos datos en virtud del Derecho de la Unión o de los Estados miembros.
Por último, el encargado debe facilitar al responsable la información necesaria para demostrar el cumplimiento de todas las obligaciones hasta ahora expuestas, y así permitir y contribuir a la realización de auditorías, incluidas las inspecciones.
En un próximo artículo seguiremos hablando de esta figura que asume ,como estamos viendo, importantes obligaciones y adquiere relevancia en la nueva norma europea.