La LOPD obliga a los Responsables del tratamiento a establecer acuerdos de confidencialidad con todas las personas físicas, sean empleados o no, que realizan tratamientos de datos personales de su responsabilidad.
Para ello, los Responsables pueden suscribir los acuerdos de confidencialidad de dos formas:
En el primer caso existe un compromiso directo con la persona, la cual deberá realizar el tratamiento siguiendo las instrucciones del Responsable que le serán detalladas en el acuerdo de confidencialidad. Un usuario puede ser un empleado, socio, voluntario, etc., incluso un autónomo si este no delega el tratamiento en otras personas a su cargo.
En el segundo caso, el Responsable se asegurará del compromiso de confidencialidad con el autónomo mediante un contrato de prestación de servicios de Encargado del tratamiento, donde también se detallará que deberá realizar el tratamiento siguiendo las instrucciones del Responsable, las cuales deberán incluir que el personal autorizado para realizar el tratamiento se haya comprometido a respetar la confidencialidad. De esta manera el autónomo podrá delegar el tratamiento a otros usuarios que estén a su cargo.
Con estas dos posibilidades, el Responsable del tratamiento puede elegir el tipo de de relación que va a establecer con un autónomo, siendo las dos opciones válidas para autorizar el tratamiento.
Este es el caso donde puede tener más relevancia la elección del tipo de acuerdo. Al ser una subcontratación, el Encargado del tratamiento debería obtener la autorización del Responsable para subcontratar el servicio. Esta autorización se puede efectuar de dos formas: