BLOG

Esto es el subtítulo de la página

El Encargado del Tratamiento en el RGPD. Parte II

Seguimos con nuestro análisis del Reglamento para concluir hoy con la figura del encargado del tratamiento.

Recordando el contenido mínimo del contrato o acto jurídico entre responsable y encargado de tratamiento que vimos en nuestro último artículo, es necesario mencionar, que sin perjuicio de que el responsable y el encargado del tratamiento puedan celebrar un contrato individual, el Reglamento prevé que el contrato u acto jurídico podrá basarse en las cláusulas contractuales tipo que adopte directamente la Comisión, o que primero adopte una autoridad de control de conformidad con el mecanismo de coherencia y posteriormente la Comisión.

En relación con la obligación del encargado del tratamiento es seguir las condiciones fijadas en el Reglamento para poder recurrir a otro encargado para llevar ciertas actividades de tratamiento por cuenta del responsable, de acuerdo con el apartado 2º del artículo 28, el encargado no podrá recurrir a otro encargado sin la autorización previa por escrito del responsable, ya sea específica o general. De tratarse del segundo supuesto, el encargado de tratamiento debe dar la opción al responsable de oponerse a los cambios previstos en la incorporación o sustitución de otros encargados.

En el caso de que un encargado del tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del responsable, se impondrán a este otro encargado idénticas obligaciones de protección de datos a las estipuladas en el contrato entre el responsable y el encargado, de manera que el tratamiento sea conforme a las disposiciones del Reglamento. Será el encargado inicial el único responsable ante el responsable del tratamiento, si ese otro encargado incumple sus obligaciones de protección de datos.

Tal y como expusimos en nuestro post anterior, la elección del encargado del tratamiento estará condicionada a que éste pueda ofrecer garantías suficientes para aplicar las medidas técnicas y organizativas adecuadas en cada caso. En relación a ello, el Reglamento considera que la adhesión del encargado del tratamiento a un código de conducta o a un mecanismo de certificación servirá como evidencia para demostrar que ofrece dichas garantías.

Por último, si un encargado del tratamiento infringe el Reglamento a la hora de determinar los fines y medios del tratamiento, será considerado responsable del tratamiento con respecto a dicho tratamiento, todo ello sin perjuicio de los supuestos concretos en los que esté exento de responsabilidad de conformidad con los artículos 82, 83 y 84 del Reglamento.

Parte I.