Datcon

  • Inicio
    • La Firma
  • Servicios
    • DPD/DPO
    • LOPD
    • Riesgos Laborales
    • Formacion
  • Convenios
  • Colaboradores
  • Publicaciones
    • Podcast
  • Oficinas
  • Contacto

Responsable y Encargado del Tratamiento

29 septiembre, 2018 by Monica Beloki Leave a Comment

encargado del tratamiento

Últimamente estamos teniendo numerosas consultas acerca de las figuras del responsable y del encargado de tratamiento; es por ello vamos a intentar aclarar estos términos.

¿Qué son el responsable y el encargado del tratamiento?

Se define la figura de encargado del tratamiento como aquella persona física o jurídica, autoridad pública, servicio u otro organismo que presta un servicio al responsable que conlleva el tratamiento de datos personales por cuenta de éste.

La definición de la figura del encargado de tratamiento es muy amplia, incluyendo, entre otros, a empresas de marketing, gestorías contables, empresas de hosting, empresas de servicios informáticos, delegado de protección de datos externo.

Una vez que conocemos en qué consiste la figura del encargado de tratamiento, llega el momento de hablar sobre las obligaciones y consideraciones a tener en cuenta con motivo de la prestación de servicios con acceso a datos.

Sobre las Obligaciones

Le corresponde al responsable decidir sobre la finalidad y los usos de la información, mientras que el encargado de tratamiento debe cumplir con las instrucciones de quien le encomienda un determinado servicio, respecto al correcto tratamiento de los datos personales a los que pueda tener acceso como consecuencia de la prestación de este servicio.

El encargado puede realizar todos los tratamientos, que el responsable le haya encomendado: recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

[bctt tweet=”El encargado del tratamiento puede adoptar las decisiones organizativas y operacionales para la prestación del servicio que tenga contratado. No puede variar el fin ni uso de los datos, ni los puede usar para sus propias finalidades.” username=”GrupoDatcon”]

Las decisiones que adopte deben respetar en todo caso las instrucciones dadas por el responsable del tratamiento.

Deber de diligencia en la elección del encargado

Un punto muy importante a tener en cuenta es que el responsable debe elegir un encargado que ofrezca garantías suficientes respecto a la implantación y el mantenimiento de las medidas técnicas y organizativas apropiadas, de acuerdo con lo establecido en el RGPD, y que garantice la protección de los derechos de las personas afectadas. Existe, por tanto, un deber de diligencia en la elección del encargado.

Relación entre el responsable y el encargado del tratamiento

Por otro lado, en lo referido a la relación entre el responsable y el encargado del tratamiento, ésta deberá establecerse a través de un contrato que deberá constar por escrito, inclusive en formato electrónico.

En el mismo debe establecerse el objeto, duración, la naturaleza y finalidad del tratamiento, el tipo de datos personales y categorías de interesados, así como las obligaciones y derechos del responsable, todo ello habida cuenta de las funciones y responsabilidades específicas del encargado en el contexto del tratamiento que se lleve a cabo.

En particular, el acuerdo o acto que se suscriba entre el responsable y el encargado del tratamiento deberá contener como mínimo las siguientes obligaciones y responsabilidades:

  • Las instrucciones del responsable del tratamiento

Se debe documentar de forma precisa las instrucciones respecto del encargo realizado. Es necesario identificar de forma clara y concreta cuáles son los tratamientos de datos a realizar por el encargado del tratamiento, atendiendo al tipo de servicio prestado y a la forma de prestarlo

  • El deber de confidencialidad

Hay que establecer la forma en que el encargado del tratamiento garantizará que las personas autorizadas para tratar datos personales se han comprometido, de forma expresa, a respetar la confidencialidad.

El cumplimiento de esta obligación debe quedar documentado y a disposición del responsable del tratamiento

  • Las medidas de seguridad

El acuerdo debe establecer la obligación del encargado de adoptar todas las medidas de seguridad necesarias, de conformidad con lo establecido en el artículo 32 del RGPD.

En relación con este punto, es preciso señalar que el encargado del tratamiento deberá aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo que en su caso incluya.

  • El régimen de la subcontratación

El acuerdo debe establecer el régimen de subcontratación. El RGPD exige la autorización previa por escrito del responsable del tratamiento para que el encargado del tratamiento pueda recurrir a otro encargado (subencargado) para desarrollar el servicio encomendado, cuando esto conlleve el tratamiento de los datos personales por parte de un tercero.

Esta autorización puede ser específica (identificación de la entidad concreta) o general (sólo autorizando la subcontratación, pero sin concretar la entidad).

  • Los derechos de los interesados

Hay que establecer la forma en la que el encargado del tratamiento asistirá al responsable en el cumplimento de la obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el capítulo III del RGPD:

  • Acceso a datos personales
  • Rectificación
  • Supresión (derecho al olvido)
  • Limitación del tratamiento
  • Portabilidad de datos
  • Oposición
  • A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles)

El acuerdo deberá establecer de forma clara si corresponde al encargado del tratamiento atender y dar respuesta a las solicitudes de estos derechos o bien establecer expresamente que su única obligación es comunicar al responsable del tratamiento que se ha ejercido un derecho.

  • La colaboración en el cumplimiento de las obligaciones del responsable

Se debe establecer la forma en que el encargado ayudará al responsable a garantizar el cumplimiento de las obligaciones relativas a la aplicación de las medidas de seguridad que correspondan, la notificación de violaciones de datos a las Autoridades de Protección de Datos, la comunicación de violaciones de datos a los interesados, la realización de las evaluaciones de impacto relativa la protección de datos y, en su caso, la realización de consultas previas.

El cumplimiento de esta obligación queda supeditado a la naturaleza del tratamiento realizado y a la información que esté a disposición del encargado.

  • El destino de los datos al finalizar la prestación
[bctt tweet=”Finalizada la prestación de los servicios de tratamiento, el encargado del tratamiento debe proceder a la supresión o a la devolución de los datos personales y de cualquier copia existente, a la persona designada por el responsable.” username=”GrupoDatcon”]
  • La colaboración con el responsable para demostrar el cumplimiento

Es preciso establecer la obligación del encargado de poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, realizadas por el responsable o por otro auditor autorizado por el responsable.

Vigencia de Contratos

[bctt tweet=”Los contratos de encargo formalizados antes de la plena aplicabilidad del RGPD (25 de mayo de 2018) se deben adaptar para respetar lo establecido en el artículo 28 RGPD.” username=”GrupoDatcon”]

No obstante, de acuerdo con la Disposición transitoria segunda del Real Decreto ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del derecho español a la normativa de la Unión Europea en materia de protección de datos, los contratos y acuerdos de encargo del tratamiento establecidos antes de 25 de mayo de 2018 mantienen su vigencia hasta la fecha de vencimiento señalada en los mismos.

Cuando se trate de encargos con duración indefinida, mantienen la vigencia hasta después de cuatro años, a contar desde el 25 de mayo de 2018.

En cualquier caso, durante la vigencia del contrato o acuerdo, cualquiera de las partes puede exigir a la otra la modificación del contrato para adaptarla a lo establecido en el artículo 28 del RGPD.

(Visited 691 times, 1 visits today)
Monica Beloki

Consultora Jurídica en Protección de Datos

¿Quieres Recibir más Artículos como este?
Déja tus Datos y el Primer Martes de Cada Mes
tendrás estos temas en tu Email

Detestamos el SPAM, tus datos están seguros con nosotros 🙂

Filed Under: LOPD Tagged With: protección de datos personales

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

cuatro × cuatro =

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Contáctanos

94 655 40 89 / 657 793 453
info@grupodatcon-norte.com

Grupo DatCon empresa protección de datos

Novedades en la Actual LOPD

Novedades del Nuevo Reglamento Europeo de Protección de Datos

NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS

Nuevo Reglamento Europeo de Protección de Datos – RGPD

Te Informamos Sobre Privacidad y Seguridad en Internet

Detestamos el SPAM, tus datos están seguros con nosotros :) Te visitaremos en tu email, el primer martes de cada mes

Convenio Protección de Datos con COP Bizkaia

Convenio

  Convenio GRUPO DATCON-NORTE para L.O.P.D. Convenio con la empresa GRUPO … Lee más...

Lo más leído

  • ¿Puedo instalar cámaras de videovigilancia en mi negocio?¿Puedo instalar cámaras de videovigilancia en mi negocio?
  • InicioInicio
  • Instalar un GPS para controlar a un trabajador, ¿es legal según la LOPD?Instalar un GPS para controlar a un trabajador, ¿es…
  • ¿Cómo enseñar a nuestros hijos a prevenir el Sexting?¿Cómo enseñar a nuestros hijos a prevenir el Sexting?
  • Novedades del Nuevo Reglamento Europeo de Protección de DatosNovedades del Nuevo Reglamento Europeo de Protección…
  • ¿ES OBLIGATORIO EL AVISO LEGAL DEL EMAIL?¿ES OBLIGATORIO EL AVISO LEGAL DEL EMAIL?
  • GEOLOCALIZACIÓN EN EL ÁMBITO LABORAL LEGALIDAD Y CONSENTIMIENTOGEOLOCALIZACIÓN EN EL ÁMBITO LABORAL LEGALIDAD Y…
  • Cuidado con las Conexiones WIFICuidado con las Conexiones WIFI
  • Preguntas Ilegales en una Entrevista de TrabajoPreguntas Ilegales en una Entrevista de Trabajo
  • ¿Sabes cómo te afecta el nuevo Reglamento General de Protección de Datos?¿Sabes cómo te afecta el nuevo Reglamento General de…

Categorías

  • Emprendedores (1)
  • LOPD (29)
  • Prevención de Riesgos Laborales (2)
  • Privacidad (10)
  • RGPD (14)
  • Seguridad de Datos (34)
  • Servicios (3)
  • Testimonios (2)

Conectemos ► en LinkedIn

Protección de Datos Bilbao - Julio Zorilla - Linkedin

¿Te Preocupa tu Privacidad y Seguridad en Internet?

Déja tus Datos y el Primer Martes de cada mes te visitaremos en tu Email

Acepto Política de Privacidad
Julio Zorrilla
  • Facebook
  • LinkedIn
  • Pinterest
  • Twitter
contratar proteccion de datos – rgpd – empresa proteccion de datos –  lopdgdd

AVISO LEGAL | POLÍTICA DE PRIVACIDAD | CONTACTO

info@grupodatcon-norte.com @ 2016 Grupo Datcon Norte | Teléfono: 946554089

Utilizamos cookies propias y de terceros para mejorar la experiencia de navegación del Usuario y realizar análisis estadísticos sobre su utilización. Si continua navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información aquí. Aceptar
Privacidad & Cookies

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necesarias
Siempre activado

Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.

No necesarias

Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.

¿Te Preocupa tu Privacidad e Seguridad en Internet?

Nosotros te contamos como preservar tu intimidad y te visitaremos en tu Email, el primer martes de cada mes

Detestamos el SPAM, tus datos están seguros con nosotros :)