El Reglamento también introduce obligaciones en los encargados del tratamiento de los datos. Éstos son prestadores de servicios que tratan datos personales en nombre de organizaciones pero no determinan el propósito ni medios del tratamiento, tales como los servicios telefónicos de atención al cliente.

Cuando un responsable del tratamiento contrate con un encargado para el tratamiento de los datos personales, ese encargado debe ser capaz de ofrecer “garantías suficientes para aplicar medidas técnicas y organizativas apropiadas”, para garantizar que el tratamiento cumplirá el RGPD y que se protegen los derechos de los interesados.

Este requisito desciende por la cadena de suministro; por tanto un encargado no puede subcontratar trabajo a un segundo encargado sin la autorización explícita del responsable.

Los acuerdos contractuales tendrán que actualizarse y será imperativo estipular las responsabilidades y obligaciones entre el responsable y el encargado en los futuros acuerdos. Las partes tendrán que documentar sus responsabilidades de datos incluso más claramente y el aumento de los niveles de riesgo puede tener un impacto en los costes del servicio.

Hay tres novedades que los responsables y encargados deben tomar en consideración:

  1. Obligaciones específicas para los encargados.
  2. Elección del encargado de tratamiento.
  3. Contenido del contrato del encargo.

Obligaciones específicas para los encargados.

  • Antes: La Directiva 95/46 y en general las leyes nacionales de trasposición se centran en la actividad de los responsables.
  • Después: El RGPD, por el contrario, contiene obligaciones expresamente dirigidas a los encargados

La responsabilidad última sobre el tratamiento sigue estando atribuida al responsable, que es quien determina la existencia del tratamiento y su finalidad.

Cambios.

  • En determinadas materias los encargados tienen obligaciones propias que establece el RGPD, que no se circunscriben al ámbito del contrato que los une al responsable, y que pueden ser supervisadas separadamente por las autoridades de protección de datos. Por ejemplo:
    • Deben mantener un registro de actividades de tratamiento.
    • Deben determinar las medidas de seguridad aplicables a los tratamientos que realizan.
    • Deben designar a un Delegado de Protección de Datos en los casos previstos por el RGPD.
  • Los encargados pueden adherirse a códigos de conducta o certificarse en el marco de los esquemas de certificación previstos por el RGPD.

Elección del encargado de tratamiento.

  • Antes: El Reglamento de Desarrollo de la LOPD establecía la necesidad de diligencia debida en la selección de encargados.
  • Después: Según el RGPD, el responsable deberá adoptar medidas apropiadas, incluida la elección de encargados, de forma que garantice y esté en condiciones de demostrar que el tratamiento se realiza conforme el RGPD (principio de responsabilidad activa).

Cambios.

Los responsables habrán de elegir únicamente encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del Reglamento.

Esta previsión se extiende también a los encargados cuando subcontraten operaciones de tratamiento con otros subencargados.

Recomendaciones.

  • Para demostrar que los encargados o subencargados ofrecen las garantías exigidas por el RGPD, éstos podrán adherirse a códigos de conducta o certificarse dentro de los esquemas previstos por el RGPD.

Contenido del contrato de encargo.

Cambios.

Las relaciones entre el responsable y el encargado deben formalizarse en un contrato o en un acto jurídico que vincule al encargado respecto al responsable.

  • Se regula de forma minuciosa el contenido mínimo de los contratos de encargo, debiendo preverse aspectos como:
    • Objeto, duración, naturaleza y la finalidad del tratamiento.
    • Tipo de datos personales y categorías de interesados.
    • Obligación del encargado de tratar los datos personales únicamente siguiendo instrucciones documentadas del responsable.
    • Condiciones para que el responsable pueda dar su autorización previa, específica o general, a las subcontrataciones
  • Asistencia al responsable, siempre que sea posible, en la atención al ejercicio de derechos de los interesados.

Obligaciones.

Los contratos de encargo concluidos con anterioridad a la aplicación del RGPD en mayo de 2018 deben modificarse y adaptarse para respetar este contenido, sin que sean válidas las remisiones genéricas al artículo del RGPD que los regula.

La AEPD y las autoridades de protección de datos autonómicas han preparado unas directrices para la redacción de estos contratos.

Estas directrices están pensadas para ayudar a responsables y encargados durante el periodo transitorio hasta la entrada en aplicación del RGPD. Posteriormente, y de acuerdo con lo previsto en el Reglamento, la AEPD podrá elaborar clausulados modelo que deberán ser aprobados por el futuro Comité Europeo de Protección de Datos.

La Comisión Europea también podrá preparar cláusulas contractuales modelo.