GDPR 8. L'Encarregat del tractament
Josep Aragonés Salvat 02/09/2016
Quines obligacions té l'Encarregat del tractament?
El Reglament defineix l'Encarregat del tractament com a persona física o jurídica, autoritat pública, servei o organisme que, sol o conjuntament amb altres, tracti dades personals per compte del Responsable del tractament.
Igual que el Responsable, l'Encarregat del tractament també té el deure de protegir les dades personals en qualsevol fase del tractament, des del disseny del tractament i per defecte durant tot el cicle de vida del mateix: recollida, tractament, conservació i supressió. També haurà de garantir un nivell de seguretat adequat en relació amb els riscos que comporti el tractament.
Podran ser Encarregats del tractament Assessories laborals, fiscals o comptables, Prevenció de riscos laborals, Manteniment d'equips i aplicacions informàtiques, Còpies de seguretat externe,; Seguretat o videovigilància, Destrucció de documents, Serveis jurídics, o qualsevol empresa de serveis que, per realitzar-los, requereixi l'accés a dades personals del Responsable.
L'Encarregat del tractament haurà d'oferir garanties suficients per implementar a la seva organització polítiques tècniques i organitzatives apropiades per protegir les dades personals, l'exercici dels drets de l'interessat i l'aplicació de les instruccions que determini el Responsable del tractament.
Les garanties suficients que ha de fonamentar l'Encarregat del tractament podran demostrar-se mitjançant els mecanismes de certificació que preveu el Reglament, o en cas de grups d'empreses, amb l'adhesió i compliment de codis de conducta aprovats per l'Autoritat de control o la Comissió Europea segons el seu àmbit territorial.
L'Encarregat del tractament serà considerat Responsable del tractament i estarà subjecte a les normes aplicables com a tal, quan sigui part determinant dels fins i els mitjans del tractament o realitzi el tractament sense seguir les instruccions rebudes pel Responsable del tractament.
L'Autoritat de control pot adoptar clàusules contractuals tipus per a la formalització de contractes que regeixin la relació entre el Responsable i l'Encarregat del tractament.
El contracte d'Encarregat del tractament
La relació entre el Responsable i l'Encarregat del tractament es regirà per un contracte, preferiblement en format electrònic, on s'especificaran les seves respectives funcions i es disposi:
- L'objecte, durada, naturalesa i finalitat del tractament.
- El tipus de dades personals i categories d'interessats.
- Les obligacions i drets del Responsable del tractament.
- Que es realitzarà el tractament seguint les instruccions documentades del Responsable del tractament, incloent les transferències de dades a tercers països o organitzacions internacionals.
- Que el personal autoritzat per realitzar el tractament s'hagi compromès a respectar la confidencialitat o tinguin l'obligació legal de confidencialitat.
- Que s'implementaran les mesures de seguretat que estableix el Reglament i cooperarà amb el Responsable del tractament per garantir el seu compliment.
- Que no es podrà subcontractar el servei a un altre Encarregat del tractament sense l'autorització prèvia i per escrit del Responsable del tractament.
- Que es crearan les condicions tècniques i organitzatives necessàries per permetre al Responsable del tractament donar curs a les sol·licituds dels drets dels interessats.
- Que al termini del contracte suprimirà o retornarà, a elecció del Responsable del tractament, les dades tractades i eliminarà les còpies existents, llevat que ho prohibeixi la legislació vigent.
- Que posarà a disposició del Responsable del tractament la informació necessària per demostrar el compliment del contracte, permetent inspeccions o auditories.
- Que l'Encarregat del tractament serà considerat Responsable del tractament, i està subjecte a les normes aplicables com a tal, quan determini pel seu compte els fins i els mitjans del tractament.
Subcontractació del servei a un altre Encarregat de tractament
L'Encarregat del tractament no podrà subcontractar el servei a un altre Encarregat sense l'autorització prèvia i per escrit del Responsable del tractament.
L'autorització per a subcontractar podrà ser:
- Específica: per subcontractar un Encarregat del tractament.
- General: per subcontractar diversos Encarregats del tractament. Quan hi hagi canvis d'Encarregats, s'haurà d'informar prèviament al Responsable i aquest podrà oposar-se a ells.
Qualsevol subcontractació autoritzada pel Responsable es regirà per un contracte entre els dos Encarregats que disposi les mateixes obligacions adquirides amb el Responsable.
L'Encarregat del tractament serà responsable subsidiari davant el Responsable de l'incompliment de les obligacions de l'Encarregat subcontractat.
Registre de les activitats del tractament
Els Encarregats del tractament, o els seus Representants, han de portar i conservar actualitzat un Registre d'activitats del tractament, en format electrònic, efectuades en nom de cada Responsable, que contingui:
- Nom i dades contacte de tots els implicats en el tractament: Encarregats, Responsables, i si és el cas, Coencarregats, Corresponsables, Destinataris, Representants i DPOs.
- Categories de dades i de tractament efectuats en nom de cada Responsable.
- Transferències de dades a tercers països, amb la identificació dels mateixos i documentació de les garanties apropiades.
- I quan sigui possible, una descripció general de les mesures tècniques i organitzatives de seguretat.
A sol·licitud de l'Autoritat de control, els Encarregats del tractament, o els seus Representants hauran de posar a la seva disposició el Registre d'activitats del tractament i cooperar en l'exercici de les seves funcions.
Responsabilitats en cas de sanció o indemnització
Les sancions per incompliment del Reglament s'aplicaran a cada Responsable, Corresponsable o Encarregat, segons la infracció comesa per cada un.
Les indemnitzacions a un interessat que hagi sofert perjudici material o immaterial com a conseqüència d'una vulneració del Reglament s'aplicaran íntegrament a cadascun dels participants del tractament, siguin Responsable, Corresponsable o Encarregat.
El Responsable o Encarregat que hagi pagat una compensació total podrà reclamar als altres participants la part que els correspongui.
Els Responsables o Encarregats estaran exempts de responsabilitats si aconsegueixen provar que no són responsables del fet que ha provocat el perjudici.
Seguiment del curs Expert en el GDPR
Tema anterior: 7. Empreses externes amb accés a dades Tema següent: 9. El Corresponsable del tractament
Informació relacionada