Encargado del tratamiento de datos personales

Autor:Alberto Palomar (Magistrado y Profesor Titular -Acred- de Derecho administrativo ) y Javier Fuertes (Doctor en Derecho. Magistrado suplente)
 
EXTRACTO GRATUITO

El encargado del tratamiento de datos personales o encargado es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento ( art. 3.8 del Reglamento 2016/679/UE, de 27 de abril ).

Contenido
  • 1 Elección del encargado del tratamiento de datos personales
  • 2 Realización del tratamiento de datos personales
    • 2.1 Relación del encargado con el responsable del tratamiento
    • 2.2 Subrogación del encargado del tratamiento
  • 3 Ver también
  • 4 Recursos adicionales
    • 4.1 En doctrina
    • 4.2 En dosieres legislativos
  • 5 Legislación básica
  • 6 Legislación citada
Elección del encargado del tratamiento de datos personales

El art. 28 del Reglamento 2016/679/UE, de 27 de abril dispone que la elección del encargado del tratamiento corresponde al responsable del tratamiento que tiene la obligación de efectuarla conforme a criterios de idoneidad.

Así, el art. 28.1 del Reglamento 2016/679/UE, de 27 de abril señala:

Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.
Realización del tratamiento de datos personales Relación del encargado con el responsable del tratamiento

La relación entre el responsable del tratamiento y el encargado del tratamiento será de carácter contractual y constará por escrito (apartados 3 y 8 del art. 28 del Reglamento 2016/679/UE, de 27 de abril ).

El art. 28.3 del Reglamento 2016/679/UE, de 27 de abril establece:

El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable.

La disp. transit. Segunda del Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos , establece:

Los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022.

Durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el artículo 28 del Reglamento (UE) 2016/679 .

El art. 28.7 del Reglamento 2016/679/UE, de 27 de abril dispone que la Comisión podrá fijar cláusulas contractuales tipo.

Ese contrato o acto jurídico obligacional deberá contener estipulaciones sobre las siguientes cuestiones:

  • Tratamiento bajo la dirección del “responsable: tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado; en tal caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público.
  • Deber de confidencialidad: garantizará que las personas autorizadas para tratar datos personales se hayan...

Para continuar leyendo

SOLICITA TU PRUEBA