Seguimos con nuestro análisis del Reglamento para concluir hoy con la figura del encargado del tratamiento.
Recordando el contenido mínimo del contrato o acto jurídico entre responsable y encargado de tratamiento que vimos en nuestro último artículo, es necesario mencionar, que sin perjuicio de que el responsable y el encargado del tratamiento puedan celebrar un contrato individual, el Reglamento prevé que el contrato u acto jurídico podrá basarse en las cláusulas contractuales tipo que adopte directamente la Comisión, o que primero adopte una autoridad de control de conformidad con el mecanismo de coherencia y posteriormente la Comisión.
En relación con la obligación del encargado del tratamiento es seguir las condiciones fijadas en el Reglamento para poder recurrir a otro encargado para llevar ciertas actividades de tratamiento por cuenta del responsable, de acuerdo con el apartado 2º del artículo 28, el encargado no podrá recurrir a otro encargado sin la autorización previa por escrito del responsable, ya sea específica o general. De tratarse del segundo supuesto, el encargado de tratamiento debe dar la opción al responsable de oponerse a los cambios previstos en la incorporación o sustitución de otros encargados.
En el caso de que un encargado del tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del responsable, se impondrán a este otro encargado idénticas obligaciones de protección de datos a las estipuladas en el contrato entre el responsable y el encargado, de manera que el tratamiento sea conforme a las disposiciones del Reglamento. Será el encargado inicial el único responsable ante el responsable del tratamiento, si ese otro encargado incumple sus obligaciones de protección de datos.
Tal y como expusimos en nuestro post anterior, la elección del encargado del tratamiento estará condicionada a que éste pueda ofrecer garantías suficientes para aplicar las medidas técnicas y organizativas adecuadas en cada caso. En relación a ello, el Reglamento considera que la adhesión del encargado del tratamiento a un código de conducta o a un mecanismo de certificación servirá como evidencia para demostrar que ofrece dichas garantías.
Por último, si un encargado del tratamiento infringe el Reglamento a la hora de determinar los fines y medios del tratamiento, será considerado responsable del tratamiento con respecto a dicho tratamiento, todo ello sin perjuicio de los supuestos concretos en los que esté exento de responsabilidad de conformidad con los artículos 82, 83 y 84 del Reglamento.