Encargado de tratamiento: qué es y cuándo ejercerlo
En el marco de la privacidad, el Reglamento General de Protección de Datos (RGPD) ha establecido una serie de normas y roles clave para garantizar la gestión adecuada y la seguridad de la información personal. Uno de estos roles es el de encargado de tratamiento, figura esencial en el cumplimiento RGPD de empresas públicas y privadas.
Comprender la importancia de esta figura y saber cuándo y cómo designarla adecuadamente permite a las organizaciones garantizar una gestión de datos responsable y segura, evitando así sanciones y pérdidas de competitividad.
¿Qué es un encargado de tratamiento?
El encargado de tratamiento, según el artículo 4.8 del RGPD, es la “persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que trate datos personales por cuenta del responsable del tratamiento.” En otras palabras, es el tercero al que el responsable de los datos delega la gestión de ciertas actividades relacionadas con la manipulación y procesamiento de datos personales.
¿Quién y cuándo se puede ejercer?
Este papel solo puede ser ejercido por entidades que cumplan con los requisitos exigidos por el RGPD y que estén comprometidas a cumplir con las políticas y medidas de seguridad necesarias para garantizar la protección de los datos.
Para que un encargado de tratamiento pueda ejercer, debe existir un contrato o acto jurídico, según se estipula en el artículo 28 del RGPD, que formalice las instrucciones y límites de sus actividades en relación con los datos.
Este contrato debe especificar, entre otros aspectos, el propósito y duración del tratamiento, los tipos de datos involucrados y las obligaciones del encargado, como adoptar medidas de seguridad específicas y solo procesar los datos de acuerdo con las instrucciones del responsable.
Funciones del encargado de tratamiento
El rol del encargado de tratamiento es fundamental, y sus funciones se detallan ampliamente en el RGPD. Algunas de las responsabilidades clave incluyen:
- Procesar datos según instrucciones. El encargado de tratamiento debe llevar a cabo la gestión de datos únicamente según las instrucciones del responsable, respetando siempre el marco establecido en el contrato firmado entre ambas partes.
- Garantizar la confidencialidad. Todos los empleados y personas que trabajen bajo la dirección del encargado de tratamiento y que tengan acceso a los datos deben estar obligados a mantener su confidencialidad.
- Aplicar medidas de seguridad. El encargado debe implementar las medidas técnicas y organizativas adecuadas para proteger los datos, de acuerdo con el artículo 32 del RGPD. Estas pueden incluir la encriptación de datos, medidas de restauración de la disponibilidad en caso de incidentes y pruebas regulares de los sistemas de seguridad.
- Auxiliar al responsable en el cumplimiento del RGPD. Esto incluye ayudar al responsable a cumplir con sus obligaciones relacionadas con la seguridad de los datos, la notificación de violaciones de seguridad (artículo 33) y la realización de Evaluaciones de Impacto (EIPD) de protección de datos (artículo 35).
- Contratos limitados con proveedores. Según el RGPD, el encargado de tratamiento solo puede subcontratar alguna de sus funciones si cuenta con la autorización explícita del responsable de tratamiento. Además, cualquier contrato con proveedores debe estar regulado mediante un contrato con el otro encargado, que debe cumplir los mismos requisitos.
- Eliminar o devolver los datos personales. Una vez que finaliza el contrato o el servicio específico, el encargado debe eliminar o devolver los datos al responsable, salvo que la ley exija su conservación.
Diferencias entre responsable y encargado de tratamiento
El responsable y el encargado de tratamiento son figuras distintas dentro del RGPD, y sus funciones y objetivos son complementarios aunque diferenciados:
- Responsable de tratamiento: Es la entidad que determina el propósito y los medios del tratamiento de datos personales. Esta figura toma decisiones sobre los objetivos que quiere lograr con los datos y la manera de procesarlos.
- Encargado de tratamiento: Actúa bajo las instrucciones del responsable y no toma decisiones sobre los fines del tratamiento. Su labor es llevar a cabo las tareas de procesamiento de datos tal y como las indica el responsable, cumpliendo con las medidas de seguridad acordadas.
Para ilustrarlo, pensemos en una empresa que recurre a un proveedor de servicios para gestionar su sistema de nóminas. En este caso, la empresa (responsable) decide qué datos se van a procesar y con qué fin, mientras que el proveedor (encargado) solo gestiona los datos para calcular las nóminas, siguiendo las instrucciones de la empresa.
¿Qué riesgos corro si no tengo contrato?
No contar con un contrato para el encargado cuando las actividades de procesamiento lo exigen puede acarrear diversos riesgos para el responsable de tratamiento y, en última instancia, para la organización:
- Infracción del RGPD. Según el RGPD (art. 28) y la LOPDGDD, los responsables de tratamiento están obligados a elegir un encargado con garantías suficientes para proteger los datos personales. No hacerlo puede resultar en sanciones administrativas significativas, que pueden ascender hasta 10 millones de euros o el 2 % del volumen de negocio anual global.
- Incremento de brechas de seguridad. La falta de un contrato de encargado que encuadre jurídicamente las medidas de seguridad puede elevar el riesgo de violaciones de datos personales. Estas brechas pueden comprometer información sensible y llevar a pérdidas financieras, daños reputacionales y reclamaciones legales.
- Responsabilidad frente a los titulares de datos. Si no se contrata a un encargado, el responsable puede ser el único en asumir la responsabilidad de cualquier incidente o infracción. Esto también implica que el responsable podría enfrentar dificultades para demostrar el cumplimiento en las auditorías de privacidad.
- Falta de apoyo especializado. La falta de un contrato puede hacer que el responsable carezca de soporte adecuado para implementar correctamente las medidas de protección de datos, lo que puede poner en riesgo el cumplimiento normativo.
El rol del encargado de tratamiento es una pieza fundamental en el cumplimiento del RGPD, no solo para asegurar que las actividades de procesamiento se llevan a cabo de acuerdo con las normas, sino también para minimizar los riesgos asociados con la seguridad y la protección de los datos.
Actecil, un aliado RGPD cerca de ti
¿Eres responsable o encargado de tratamiento? 🤔
Desde 2007, Actecil ha estado a la vanguardia, ofreciendo asesoramiento jurídico y técnico en protección de datos a más de 5.000 empresas públicas y privadas de todo el mundo. ¡Confía ya en Actecil y cumple tus obligaciones como responsable o encargado con total seguridad!
🚀 Nuestra solución 360º es única en el mercado:
- Consultoría RGPD. Un equipo especializado en protección de datos te dará todas las claves para cumplir eficazmente con las leyes locales e internacionales de protección de datos.
- DPO externo. Un consultor titulado en protección de datos responderá todas tus dudas y te ayudará a cumplir con tus obligaciones como responsable o encargado de tratamiento.
- Formación. Conviértete en un auténtico especialista en protección de datos con nuestros cursos obligatorios y sensibilizaciones RGPD.
- Software RGPD. Gracias a los últimos softwares del mercado, los datos que recojas quedarán documentados, serán accesibles y cumplirán con la ley.
- E-Assistance. Nuestros expertos estarán ahí cuando más los necesites: gestión de crisis, ciberataques, asesoramiento jurídico… ¡Acompañamiento 100% personalizado!
- Misión internacional. Hablamos más de 10 idiomas y todos nuestros consultores son DPO titulados ante las autoridades europeas. ¡Cumple el RGPD dónde y cómo quieras!
Si eres un responsable o encargado de tratamiento y tienes dudas, ¡consulta ya con nuestros expertos RGPD!