Contenidos de la página

Respuesta

Otra persona (física o jurídica o cualquier otro organismo) puede tratar datos personales por usted siempre que exista un contrato u otro acto jurídico. Es importante que el encargado que designe ofrezca garantías suficientes en cuanto a la aplicación de medidas técnicas y organizativas apropiadas para asegurar que el tratamiento se ajustará a las normas del Reglamento general de protección de datos (RGPD) y para garantizar la protección de los derechos de las personas.

El encargado designado no puede designar posteriormente a otro encargado sin su autorización previa específica o general por escrito.El contrato o acto jurídico entre usted y el encargado deberá incluir cláusulas como las siguientes:

  • el tratamiento únicamente puede realizarse siguiendo instrucciones documentadas del responsable,
  • el encargado garantiza que las personas autorizadas para tratar los datos personales se han comprometido a respetar la confidencialidad o están sujetas a una obligación de confidencialidad de naturaleza estatutaria,
  • el encargado debe ofrecer un nivel de seguridad mínimo definido por el responsable,
  • el encargado debe asistirle a fin de garantizar el cumplimiento del RGPD.

Ejemplos

Una empresa de construcción utiliza a un subcontratista para determinadas obras, al que facilita la información de contacto de los clientes cuando debe realizar las obras. El subcontratista utiliza, además, los datos para enviar material de mercadotecnia a los clientes. En este caso, el subcontratista no puede considerarse simplemente un «encargado» en virtud del RGPD, puesto que no trata los datos únicamente por cuenta de la empresa de construcción, sino también para sus propios fines. El subcontratista actúa, por tanto, como «responsable del tratamiento».

Usted es una empresa minorista que decide conservar una versión de seguridad de la base de datos de sus clientes en un servidor en la nube. A este fin, firma un contrato con un proveedor de servicios en la nube conocido por sus normas de protección de datos y que cuenta también con un sistema certificado de cifrado de datos. El proveedor de la nube es su encargado del tratamiento, porque, al conservar los datos personales de sus clientes en los servidores, estará tratando los datos personales por su cuenta.

Referencias

  • Artículo 28; considerando 81