Skip to content

¿Quién es encargado del tratamiento?

El responsable del tratamiento de datos tiene que estar siempre atento

Según lo establecido en el artículo 4 RGPD sería encargado de tratamiento toda persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento, persiguiendo los fines y empleando los medios dispuestos por éste.

Será responsable la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento, es decir, el que controla y se hace responsable de los datos que posee.

Normalmente, y a fin de que resulte más ilustrativo, dicha figura suele concurrir en el caso de asesorías o gestorías encargadas de la tramitación documental laboral o fiscal, técnicos informáticos encargados de la gestión y mantenimiento de los dispositivos y equipos informáticos o empresas dedicadas a prevención de riesgos laborales que imparten además formación a los trabajadores de la organización, entre otros.

 

OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO

 

  1. IMPLANTACIÓN DE MEDIDAS DE SEGURIDAD ADECUADAS.

El encargado del tratamiento deberá establecer una serie de medidas encaminadas a mantener la seguridad e integridad de los datos personales en proporción al riesgo existente y a la categoría de datos tratados.

Para ello, se deberá llevar a cabo en primer lugar un análisis de riesgos que determine en base a los tratamientos efectuados y los mecanismos utilizados, el riesgo al que se encuentra expuesto.

En cualquier caso, se deberán implementar medidas que garanticen las siguientes circunstancias:

  • Disponibilidad, integridad y confidencialidad de los servicios y sistemas de tratamiento.
  • Conservación de los datos debidamente bloqueados, cifrados y seudonimizados.
  • Procedimiento para la restauración de la disponibilidad y el acceso a la información en caso de que se produzca alguna violación de la seguridad.
  • Procedimiento para la destrucción o restitución de la información al responsable del tratamiento, así como de los soportes que la contengan.

 

  1. OBLIGACIONES ORGANIZATIVAS.

En cualquier caso, el encargado del tratamiento deberá tratar los datos siguiendo las instrucciones del responsable del tratamiento y no podrá utilizar los datos para finalidades distintas de las especificadas por el mismo.

Deberán especificarse a su vez si se producirán cesiones de datos como consecuencia de la prestación del servicio, así como transferencias internacionales de datos a fin de comprobar que se cumple con los requisitos establecidos en la normativa.

Finalmente, si en algún momento el encargado considera que alguna de las instrucciones establecidas por el responsable contradice lo establecido en el RGPD o en la LOPDGDD deberá ponerlo en conocimiento del mismo.

 

  1. ASISTENCIA AL RESPONSABLE.

Para garantizar el cumplimiento de sus obligaciones ambas partes deberán establecer mecanismos de colaboración entre ellos. Concretamente se establecerán mecanismos y procedimientos para:

  • Notificación de las brechas de seguridad.
  • Responder al ejercicio de derechos de los interesados.
  • Implantar las medidas de seguridad adecuadas.
  • Asistir al responsable en el cumplimiento de sus obligaciones.

 

¿RESULTA OBLIGATORIO AUDITAR A LOS ENCARGADOS DEL TRATAMIENTO?

La obligación de auditar a los Encargados del tratamiento en relación al ámbito de protección de datos personales no aparece recogida de forma literal ni en el RGPD ni en la LOPDGDD, sin embargo el artículo 24 RGPD si establece la obligación de evaluar, revisar y actualizar las medidas técnicas y organizativas cuando sea necesario.

Por otro lado, el artículo 32 RGPD establece la obligación tanto de Responsables como de Encargados del tratamiento de aplicar las medidas técnicas y organizativas necesarias para garantizar un nivel adecuado de seguridad en base al riesgo inherente de la empresa. Dichas medidas deberán llevar aparejado un proceso de verificación, evaluación y valoración regular de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

De todo lo anterior se podría concluir que si bien la normativa no establece de forma expresa la obligación de auditar a los Encargados del tratamiento, sí que lo hace con respecto a la obligación de verificar, evaluar y valorar las medidas implantadas en la empresa con el fin de cumplir con la normativa. De entre todas las herramientas posibles para cumplir con dichas obligaciones, la que se tercia más adecuada es la auditoría, ya que a través de la misma se puede llevar a cabo un control de la eficacia de las medidas implantadas en la empresa, así como detectar las posibles deficiencias de las misma.

Por su parte, la AEPD si que se ha pronunciado al respecto estableciendo la obligación de que los Responsables del tratamiento realicen auditorías a los Encargados del tratamiento. Estableciendo que en cualquier caso, el encargado del tratamiento estará en la obligación de permitir al Responsable del tratamiento la realización de cualquier auditoría o inspección tanto si la misma la lleva a cabo él mismo o a través de un auditor externo. Además, deberá facilitar al Responsable cualquier información que éste le requiera en el desarrollo de la auditoría con el fin de acreditar que el mismo cumple con todas sus obligaciones en materia de protección de datos.

En conclusión, si bien la normativa no lo establece de forma expresa, los Encargados del tratamiento tendrán la obligación de someterse a las auditorías que les requiera el Responsable con el fin de acreditar el cumplimiento de los términos establecidos en la normativa, así como del deber de diligencia y el principio de responsabilidad proactiva.

Sobre el autor: Leticia Díaz

Leticia Díaz

Delegada de Protección de Datos