Contratos. El Responsable y el Encargado del Tratamiento
En el ámbito de la normativa de protección de datos se definen diferentes figuras según el nivel de decisión de las entidades sobre los tratamientos de datos que realizan. Según esto, nuestra empresa puede actuar como Responsable, Encargada o Corresponsable del Tratamiento.
La relación entre las diferentes figuras se debe regular mediante un contrato. En este caso hablaremos sobre la relación entre Responsables y Encargados del Tratamiento y dejaremos la relación entre Corresponsables del Tratamiento para publicaciones futuras.
¿Quién es el Responsable del Tratamiento de datos personales?
El Responsable del Tratamiento es la persona física o jurídica, que decide sobre el tratamiento de los datos personales de los clientes, determinando los fines y los medios de dicho tratamiento.
¿Qué es un Encargado del Tratamiento y cuál es su función principal?
El Encargado del Tratamiento es la persona física o jurídica, que presta un servicio al Responsable que conlleva el tratamiento de datos personales por cuenta de éste.
¿Cómo deben regularse las relaciones entre el Responsable y el Encargado del Tratamiento?
La regulación de la relación entre el Responsable y el Encargado del Tratamiento debe establecerse a través de un contrato o de un acto jurídico similar que los vincule. El contrato o acto jurídico debe constar por escrito, inclusive en formato electrónico. Estos contratos vinculan al Encargado respecto del Responsable y establecen el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del Responsable y del Encargado.
¿Puede el Responsable del Tratamiento elegir cualquier Encargado del Tratamiento?
El Responsable del Tratamiento debe elegir únicamente encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del RGPD y garantice la protección de los derechos del interesado. Esta previsión se extiende también a los encargados cuando subcontraten operaciones de tratamiento con otros subencargados.
Para demostrar que los encargados o subencargados ofrecen las garantías exigidas por el RGPD, éstos podrán adherirse a códigos de conducta o la posesión de un certificado de protección de datos pueden servir como mecanismos de prueba. En caso de ser cliente de Nubelia podrá utilizar el modelo “Cuestionario de Valoración de Encargados del Tratamiento” que encontrará en su Portal del Cliente.