Encargado del tratamiento de datos personales

• Autor: Alberto Palomar (Magistrado de lo contencioso-administrativo) y Javier Fuertes (Magistrado)

El encargado del tratamiento de datos personales o encargado es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento ( art. 4.8 del Reglamento 2016/679/UE, de 27 de abril ).

Contenido 1 Desarrollo del concepto y regulación del encargado del tratamiento 2 Elección del encargado del tratamiento de datos personales 3 Realización del tratamiento de datos personales 3.1 Relación del encargado con el responsable del tratamiento 3.2 Subrogación del encargado del tratamiento 4 Ver también 5 Recursos adicionales 5.1 En formularios 5.2 En doctrina 5.3 En dosieres legislativos 6 Legislación básica 7 Legislación citada

Desarrollo del concepto y regulación del encargado del tratamiento

La LOPD-GDD/2018 no contiene lo que ha de entenderse por encargado del tratamiento de datos personales o encargado, concepto que se encuentra definido en el art. 4.8 del Reglamento 2016/679/UE, de 27 de abril :

«encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

Téngase en cuenta que, conforme a lo dispuesto en el artículo 33.2 de la LOPD-GDD/2018 tendrá la consideración de responsable del tratamiento y no la de encargado:

1) Quien en su propio nombre y sin que conste que actúa por cuenta de otro, establezca relaciones con los afectados aun cuando exista un contrato o acto jurídico con el contenido fijado en el artículo 28.3 del Reglamento (UE) 2016/679 .

Esta previsión no será aplicable a los encargos de tratamiento efectuados en el marco de la legislación de contratación del sector público.

2) Quien figurando como encargado utilizase los datos para sus propias finalidades.

Elección del encargado del tratamiento de datos personales

El art. 28 del Reglamento 2016/679/UE, de 27 de abril dispone que la elección del encargado del tratamiento corresponde al responsable del tratamiento que tiene la obligación de efectuarla conforme a criterios de idoneidad.

Así, el art. 28.1 del Reglamento 2016/679/UE, de 27 de abril señala:

Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.

Realización del tratamiento de datos personales Relación del encargado con el responsable del tratamiento

La relación entre el responsable del tratamiento y el encargado del tratamiento será de carácter contractual y constará por escrito (apartados 3 y 8 del art. 28 del Reglamento 2016/679/UE, de 27 de abril ).

El art. 28.3 del Reglamento 2016/679/UE, de 27 de abril establece:

El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable.

La disp. transit. Segunda del Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos (norma derogada por la LOPD-GDD/2018 ), establecía:

Los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022.

Durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el artículo 28 del Reglamento (UE) 2016/679 .

El art. 28.7 del Reglamento 2016/679/UE, de 27 de abril dispone que la Comisión podrá fijar cláusulas contractuales tipo.

Ese contrato o acto jurídico obligacional deberá contener estipulaciones sobre las siguientes cuestiones:

• Tratamiento bajo la dirección del “responsable: tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado; en tal caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público.

• Deber de...