1. Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.
2. El encargado del tratamiento no recurrirá a otro encargado sin la autorización previa por escrito, específica o general, del responsable. En este último caso, el encargado informará al responsable de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al responsable la oportunidad de oponerse a dichos cambios.
3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:
|
(a) |
tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado; en tal caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público; |
|
(b) |
garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria; |
|
(c) |
tomará todas las medidas necesarias de conformidad con el artículo 32; |
|
(d) |
respetará las condiciones indicadas en los apartados 2 y 4 para recurrir a otro encargado del tratamiento; |
|
(e) |
asistirá al responsable, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el capítulo III; |
|
(f) |
ayudará al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado; |
|
(g) |
a elección del responsable, suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros; |
|
(h) |
pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable. |
En relación con lo dispuesto en la letra h) del párrafo primero, el encargado informará inmediatamente al responsable si, en su opinión, una instrucción infringe el presente Reglamento u otras disposiciones en materia de protección de datos de la Unión o de los Estados miembros.
4. Cuando un encargado del tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del responsable, se impondrán a este otro encargado, mediante contrato u otro acto jurídico establecido con arreglo al Derecho de la Unión o de los Estados miembros, las mismas obligaciones de protección de datos que las estipuladas en el contrato u otro acto jurídico entre el responsable y el encargado a que se refiere el apartado 3, en particular la prestación de garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conforme con las disposiciones del presente Reglamento. Si ese otro encargado incumple sus obligaciones de protección de datos, el encargado inicial seguirá siendo plenamente responsable ante el responsable del tratamiento por lo que respecta al cumplimiento de las obligaciones del otro encargado.
5. La adhesión del encargado del tratamiento a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá utilizarse como elemento para demostrar la existencia de las garantías suficientes a que se refieren los apartados 1 y 4 del presente artículo.
6. Sin perjuicio de que el responsable y el encargado del tratamiento celebren un contrato individual, el contrato u otro acto jurídico a que se refieren los apartados 3 y 4 del presente artículo podrá basarse, total o parcialmente, en las cláusulas contractuales tipo a que se refieren los apartados 7 y 8 del presente artículo, inclusive cuando formen parte de una certificación concedida al responsable o encargado de conformidad con los artículos 42 y 43.
7. La Comisión podrá fijar cláusulas contractuales tipo para los asuntos a que se refieren los apartados 3 y 4 del presente artículo, de acuerdo con el procedimiento de examen a que se refiere el artículo 93, apartado 2.
8. Una autoridad de control podrá adoptar cláusulas contractuales tipo para los asuntos a que se refieren los apartados 3 y 4 del presente artículo, de acuerdo con el mecanismo de coherencia a que se refiere el artículo 63.
9. El contrato u otro acto jurídico a que se refieren los apartados 3 y 4 constará por escrito, inclusive en formato electrónico.
10. Sin perjuicio de lo dispuesto en los artículos 82, 83 y 84, si un encargado del tratamiento infringe el presente Reglamento al determinar los fines y medios del tratamiento, será considerado responsable del tratamiento con respecto a dicho tratamiento.
Debe utilizar tratarde datos personales que puedan ofrecer garantías suficientes de que han aplicado medidas organizativas técnicas u medidas organizativas para salvaguardar los datos del interesado.
Proporcionando garantías suficientes significa demostrar que el tratarcumple con la obligación de mantener la seguridad de los datos del interesado. Por lo tanto, hay que elegir un tratardatos fiable que ofrezca suficientes garantías.
Todo ello debe quedar documentado en un acuerdo de tratamiento datos o de forma similar.
Las medidas organizativas técnicas y medidas organizativas apropiados son un concepto fundamental del RGPD.
Para determinar una medida “apropiada”, debe realizar una evaluación del riesgo de su tratamiento de datos personales en relación con el interesado.
El tratamiento de datos personales sensibles requiere medidas más estrictas para garantizar el cumplimiento del RGPD que, por ejemplo, la suscripción a un boletín informativo. La evaluación de riesgos, por tanto, valora los detalles de su tratamiento específico para que pueda aplicar medidas organizativas técnicas y medidas organizativas apropiados.
La evaluación de riesgos permite determinar si una medida es apropiados.
No puede utilizar ningún trataren su nombre a menos que haya proporcionado garantías suficientes para tratar los datos personales de conformidad con el RGPD.
El tratardeberá aplicar las medidas organizativas técnicas y medidas organizativas adecuadas y se comprometerá a no recurrir a otros tratarsin el consentimiento previo del responsable del tratamiento. Además, el responsable del tratamiento y el tratardeben firmar un acuerdo de tratamiento datos en el que se determinan los requisitos específicos para el tratamiento datos personales, por ejemplo, el tipo de datos personales y la duración del tratamiento.
Todos los responsable del tratamientode datos deben firmar un acuerdo de tratamiento datos con sus tratar. El acuerdo de tratamiento datos contendrá los requisitos enumerados en el apartado 3 del artículo 28, que, por ejemplo, exigen que todos los tratarobtengan la autorización previa del responsable del tratamiento para el uso de cualquier subencargado.
El tratarde un tratartambién se llama subprocesador. Un subprocesador es un proveedor de un proveedor en el contexto del tratamiento datos personales.
El responsable del acuerdo de tratamiento de datos es el responsable del tratamiento de datos personales. Esta responsabilidad también implica auditar que el procesador de datos cumple con el acuerdo de procesamiento de datos.
Un acuerdo de tratamiento datos debe cumplir los requisitos establecidos en el artículo 28 del RGPD.
En el sitio web de la Unión Europea se pueden encontrar cláusulas contractuales tipo. Se trata de plantillas para realizar un acuerdo de tratamiento de datos.
Sí. Es responsabilidad del responsable del tratamiento documentar el cumplimiento del RGPD, y también debe poder demostrar que los encargados del tratamiento cumplen el acuerdo de tratamiento de datos.
Algunos acuerdos de tratamiento de datos establecerán que el encargado del tratamiento necesita una autorización específica previa del responsable del tratamiento para elegir un nuevo encargado para partes del tratamiento (subencargado). Esta autorización previa proporciona al responsable del tratamiento un mayor control sobre el tratamiento de los datos personales en la cadena de valor, aumentando así la seguridad de los interesados.
Los acuerdos de tratamiento de datos también pueden contener una autorización general por escrito en la que se permita el uso de un tipo específico de subprocesador para los datos personales acordados sin una autorización previa explícita. Sin embargo, el procesador debe informar al controlador con antelación de cualquier cambio previsto para permitir que el controlador se oponga a los cambios.
Si usted es el encargado del tratamiento y desea añadir o sustituir a un subencargado, deberá informar por escrito al responsable del tratamiento. Lo mismo se aplica a los cambios en el tratamiento de datos personales que realiza un subencargado.
Asegúrese de que toda su empresa cuenta con la formación de concienciación necesaria sobre los aspectos básicos del RGPD y la seguridad informática.
Once you have submitted your details, you’ll be our top priority!
