La definición de encargado de tratamiento la podemos encontrar en el artículo 4.8 del RGPD: “aquella persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable”.
La empresa o entidad responsable del tratamiento está obligada por norma a elegir únicamente a los encargados más diligentes. Es decir, aquellos que le ofrezcan garantías suficientes de que van a aplicar las medidas técnicas y organizativas apropiadas, para cumplir con los requisitos del RGPD y garanticen la protección de los derechos del interesado.
El encargado de tratamiento solamente podrá tratar los datos personales que pone a su disposición el responsable cuando se haya celebrado el contrato de acceso a datos. Este contrato que está regulado en el artículo 28 del RGPD contiene las instrucciones mínimas documentadas que ha de seguir el encargado de tratamiento.
El encargado del tratamiento no podrá subcontratar con otro encargado los servicios que presta al responsable del tratamiento sin la autorización previa por escrito, específica o general del responsable. En el caso de que recurra a otro encargado se le imponen las mismas obligaciones de protección de datos.
IMPORTANTE
Tendrá la consideración de responsable del tratamiento y no la de encargado quién en su propio nombre establezca relaciones con los interesados aún cuando exista un contrato de acceso a datos.
