El Reglamento define al Encargado del tratamiento como persona física o jurídica, autoridad pública, servicio u organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del Responsable del tratamiento.
Igual que el Responsable, el Encargado del tratamiento también tiene el deber de proteger los datos personales en cualquier fase del tratamiento, desde el diseño del tratamiento y por defecto durante todo el ciclo de vida del mismo: recogida, tratamiento, conservación y supresión. También deberá garantizar un nivel de seguridad adecuado en relación con los riesgos que entrañe el tratamiento.
Podrán ser Encargados del tratamiento Asesorías laborales, fiscales o contables, Prevención de riesgos laborales, Mantenimiento de equipos y aplicaciones informáticas, Copias de seguridad externas, Seguridad o videovigilancia, Destrucción de documentos, Servicios jurídicos, o cualquier empresa de servicios que, para realizarlos, requiera el acceso a datos personales del Responsable.
El Encargado del tratamiento deberá ofrecer garantías suficientes para implementar en su organización políticas técnico-organizativas apropiadas para proteger los datos personales, el ejercicio de los derechos del interesado y la aplicación de las instrucciones que determine el Responsable del tratamiento.
Las garantías suficientes que deberá fundamentar el Encargado del tratamiento podrán demostrarse mediante los mecanismos de certificación previstos en el Reglamento, o en caso de grupos de empresas, con la adhesión y cumplimiento de códigos de conducta aprobados por la Autoridad de control o la Comisión Europea según su ámbito territorial.
El Encargado del tratamiento será considerado Responsable del tratamiento y estará sujeto a las normas aplicables como tal, cuando sea parte determinante de los fines y los medios del tratamiento o realice el tratamiento sin seguir las instrucciones recibidas por el Responsable del tratamiento.
La Autoridad de control podrá adoptar cláusulas contractuales tipo para la formalización de contratos que rijan la relación entre el Responsable y el Encargado del tratamiento.
La relación entre el Responsable y el Encargado del tratamiento se regirá por un contrato, preferiblemente en formato electrónico, donde se especificarán sus respectivas funciones y se disponga:
El Encargado del tratamiento no podrá subcontratar el servicio a otro Encargado sin la autorización previa y por escrito del Responsable del tratamiento.
La autorización para subcontratar podrá ser:
Cualquier subcontratación autorizada por el Responsable se regirá por un contrato entre los dos Encargados que disponga las mismas obligaciones adquiridas con el Responsable.
El Encargado del tratamiento será responsable subsidiario ante el Responsable del incumplimiento de las obligaciones del Encargado subcontratado.
Los Encargados del tratamiento, o sus Representantes, deberán llevar y conservar actualizado un Registro de actividades del tratamiento, en formato electrónico, efectuadas en nombre de cada Responsable, que contenga:
A solicitud de la Autoridad de control, los Encargados del tratamiento, o sus Representantes deberán poner a su disposición el Registro de actividades del tratamiento y cooperar en el desempeño de sus funciones.
Las sanciones por incumplimiento del Reglamento se aplicarán a cada Responsable, Corresponsable o Encargado, según la infracción cometida por cada uno.
Las indemnizaciones a un interesado que haya sufrido perjuicio material o inmaterial como consecuencia de una vulneración del Reglamento se aplicarán en su totalidad a cada uno los participantes del tratamiento, sean Responsable, Corresponsable o Encargado.
El Responsable o Encargado que haya pagado una compensación total podrá reclamar a los demás participantes la parte que les corresponda.
Los Responsables o Encargados estarán exentos de responsabilidades si consiguen probar que no son responsables del hecho que ha provocado el perjuicio.
Tema anterior: 7. Empresas externas con acceso a datos Tema siguiente: 9. El Corresponsable del tratamiento