guiasjuridicas.es - Documento
El documento tardará unos segundos en cargarse. Espere, por favor.
Encargado del tratamiento (Protección...

Encargado del tratamiento (Protección de Datos)

El encargado del tratamiento trata los datos personales por cuenta del responsable del tratamiento. Su existencia depende de que el responsable del tratamiento decida que los datos personales sean tratados por una persona física o jurídica ajena a su organización. Así, el encargado sigue las instrucciones del responsable, de manera que no decide sobre los fines y los medios del tratamiento.

Protección de datos

¿Quién es el encargado del tratamiento?

El artículo 4.8) del Reglamento (UE) 2016/679, de 27 de abril de 2016 (en adelante, RGPD) define al encargado del tratamiento como la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento. Lo relevante, por tanto, es que el encargado del tratamiento, a diferencia de lo que ocurre con la figura de responsable del tratamiento, no decide sobre el tratamiento de los datos personales.

En este sentido, el Grupo de Trabajo del Artículo 29 (GT29), señaló en su Dictamen 1/2010 sobre los conceptos de "responsable del tratamiento" y "encargado del tratamiento", WP 169, adoptado el 16 de febrero de 2010, que para estar ante un encargado del tratamiento tienen que darse dos condiciones básicas: por una parte, ser una entidad jurídica independiente del responsable del tratamiento y, por otra, realizar el tratamiento de datos personales por cuenta de éste. Y en relación con esta última cuestión, lo que resalta el GT29 es que el responsable del tratamiento puede decidir delegar todas o una parte de las actividades de tratamiento en una organización externa, es decir —como se señala en la exposición de motivos de la propuesta modificada de la Comisión—, en «una persona jurídicamente distinta que actúa por su cuenta».

En la práctica puede haber multitud de encargados del tratamiento, tales como un prestador de servicios de nube que trata datos personales por cuenta del responsable del tratamiento, la empresa que ofrece servicios de hosting y que también trata datos personales por cuenta del responsable, la empresa que ofrece servicios de call center al responsable, un gestor de nóminas que elabora las nóminas para una empresa a la que presta sus servicios. En todos los casos, se trata de una persona, física o jurídica, ajena a la organización del responsable del tratamiento que accede o trata datos personales por cuenta de este para prestarle un servicio.

Ahora bien, nada impide que una organización pueda ser, al mismo tiempo, responsable y encargado del tratamiento. Al respecto, el GT29 indicó que la función de encargado del tratamiento no se deriva de la naturaleza de un ente que trata datos, sino de sus actividades concretas en un contexto específico. En otras palabras, un mismo ente puede actuar a la vez como responsable del tratamiento para determinadas operaciones de tratamiento y como encargado del tratamiento para otras, y la condición de responsable o encargado debe evaluarse respecto de unos conjuntos muy determinados de datos u operaciones. Por ejemplo, una empresa será responsable del tratamiento de sus clientes y empleados, pero, al mismo tiempo puede tratar datos personales por cuenta de otra empresa para prestarle el servicio de elaboración y gestión de nóminas. Con respecto a este último tratamiento de datos personales la empresa que presta el servicio correspondiente será considerado como encargado del tratamiento.

Por último, el artículo 33 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) especifica que no se considerará encargado del tratamiento, y por tanto sí responsable del tratamiento, quien en su propio nombre y sin que conste que actúa por cuenta de otro, establezca relaciones con los afectados aun cuando exista un contrato o acto jurídico conforme al artículo 28 del RGPD. Y añade que esta previsión no será aplicable a los encargos de tratamiento efectuados en el marco de la legislación de contratación del sector público.

¿Puede tomar el encargado del tratamiento alguna decisión?

Como ya se ha indicado, es el responsable el que decide sobre el tratamiento de los datos personales, lo que implica que determine los fines y los medios del tratamiento. Y lo anterior significa también que el encargado del tratamiento no pueda tomar ninguna decisión al respecto, ya que ello implicaría convertirse en un nuevo responsable del tratamiento, pudiendo considerarse que el mero hecho de tomar la decisión, sin estar autorizado para ello, supondría una infracción de la que tendría que responder personalmente.

Y sin perjuicio de que sea el responsable quien decida sobre el tratamiento de los datos personales, el GT29 indicó que La determinación del «fin» del tratamiento es competencia del «responsable del tratamiento». Por consiguiente, quienquiera que tome esta decisión es (de facto) el responsable del tratamiento. Éste puede delegar la determinación de los «medios» del procesamiento en la medida en que se trate de cuestiones técnicas u organizativas. Las cuestiones de fondo que sean esenciales a efectos de la legitimidad del tratamiento son competencia del responsable del tratamiento.

Por tanto, al margen de que el encargado del tratamiento pueda existir un cierto grado de discrecionalidad sobre cómo servir los intereses del responsable del tratamiento, como ha indicado el GT29, es el responsable del tratamiento quien decide sobre el tratamiento de los datos personales.

¿Cómo se aplicación el RGPD a los encargados del tratamiento establecidos fuera de la Unión Europea?

El RGPDse aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión (apartado 1 del artículo 3 del RGPD), con independencia de que el tratamiento tenga lugar en la Unión o no. Es decir, lo importante es atender a dónde está el establecimiento del encargado del tratamiento porque ello va a determinar que se aplicable el RGPD incluso si el encargado del tratamiento trata los datos personales fuera de la Unión Europea, lo que además supondría una transferencia internacional de datos.

Por lo que se refiere al concepto de establecimiento del encargado del tratamiento, el Considerando 22 explica que Un establecimiento implica el ejercicio de manera efectiva y real de una actividad a través de modalidades estables. La forma jurídica que revistan tales modalidades, ya sea una sucursal o una filial con personalidad jurídica, no es el factor determinante al respecto.

Y si el encargado del tratamiento estuviera establecido en varios Estados miembros, por establecimiento principal se entiende, según la definición dada en la letra b) del artículo 4.16) del RGPDen lo que se refiere a un encargado del tratamiento con establecimientos en más de un Estado miembro, el lugar de su administración central en la Unión o, si careciera de esta, el establecimiento del encargado en la Unión en el que se realicen las principales actividades de tratamiento en el contexto de las actividades de un establecimiento del encargado en la medida en que el encargado esté sujeto a obligaciones específicas con arreglo al RGPD.

Por último, hay dos casos en los que el RGPD se aplica también a un encargado del tratamiento que no esté establecido en la Unión Europea y que, conforme al apartado 2 del artículo 3 del RGPD, son los relativos a que sus actividades de tratamiento de datos personales estén relacionadas con:

  • La oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o
  • El control de su comportamiento, en la medida en que este tenga lugar en la Unión Europea.

¿Qué obligaciones tiene el encargado del tratamiento en el RGPD?

Las obligaciones que tiene que cumplir el encargado del tratamiento cuando trata datos personales son las que se explican a continuación.

  • Contrato u otro acto jurídico con el responsable del tratamiento (artículo 28 del RGPD): Este contrato incluye, en particular, las instrucciones por escrito del responsable para el tratamiento de datos personales, incluyendo las transferencias internacionales de datos fuera del Espacio Económico Europeo; los derechos y obligaciones de ambas partes; previsiones sobre la posibilidad de recurrir a otros encargados del tratamiento, así como el destino de los datos personales, ya sea su devolución al responsable del tratamiento o su destrucción a elección de dicho responsable, a la finalización del servicio.
  • Asegurarse de que quienes tratan datos personales bajo su autoridad están sujetos a una obligación de confidencialidad o tienen dicha obligación en virtud de la normativa aplicable (artículo 28.3.b del RGPD).
  • Procedimiento para la gestión de solicitudes de derechos por cuenta del responsable (artículo 28.3.e del RGPD): El encargado del tratamiento está obligado a ayudar al responsable del tratamiento para que este último pueda cumplir con la obligación de responder las solicitudes de ejercicio de derechos.
  • Informes u otra documentación oportuna para que el responsable pueda demostrar el cumplimiento (artículo 28.3.f y h del RGPD).
  • Registro de actividades del tratamiento (artículo 30 del RGPD y artículo 31 de la LOPDGDD): al menos, con la información que indica el RGPD y que servirá también para demostrar el cumplimiento. Esta obligación no será exigible cuando emplee a menos de 250 personas, peor a su vez, incluso en este caso tendrá que elaborar el registro de actividades si el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10. (apartado 5 del artículo 30 del RGPD). No obstante, en España, es obligatorio que las Administraciones Públicas, a las que se refiere el artículo 77.1 de la LOPDGDD, lo publiquen a través de medios electrónicos.
  • Cooperar con la autoridad de control (artículo 31 del RGPD): de manera que facilitará la información que le solicite la autoridad de protección de datos y cumplirá con lo que esta ordene en cada caso.
  • Medidas de seguridad del tratamiento (artículo 32 del RGPD): Considerando el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, pudiendo hacerlo a través de un documento o política de seguridad de los datos personales. Además, en caso de que los pueda conservar, el encargado del tratamiento bloqueará los datos en tanto pudieran derivarse responsabilidades de su relación con el responsable del tratamiento (artículo 33.4 de la LOPDGDD).
  • Comunicación de violaciones de seguridad al responsable del tratamiento (artículo 33.2 del RGPD): El encargado del tratamiento notificará sin dilación indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento. Por tanto, debe establecer un procedimiento adecuado a tal fin para asegurarse del cumplimiento.
  • Designación de un delegado de protección de datos (artículos 37.1.b y c del RGPD y artículo 34 de la LOPDGDD): Si la actividad principal del encargado del tratamiento consiste en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala o en el tratamiento a gran escala de categorías especiales de datos personales, tales como los datos personales relativos a la salud. También se podría designar a un delegado de protección de datos de manera voluntaria. Y en cualquier caso, se debe considerar tanto su perfil como las obligaciones en relación con el mismo, su posición y sus funciones.

Estas obligaciones deben entenderse sin perjuicio de otras que pudieran ser exigibles al encargado del tratamiento en virtud del contrato u otro acto jurídico con el responsable del tratamiento.

¿A qué responsabilidad está sujeto el encargado del tratamiento en caso de incumplimiento?

En caso de incumplimiento o infracción de la normativa aplicable sobre protección de datos, el encargado del tratamiento queda sujeto al régimen sancionador previsto al respecto. En el caso del RGPD, cuando se trate de un encargado del tratamiento que sea una empresa, podría implicar las siguientes multas administrativas:

  • De diez millones de euros (10.000.000 €) o una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, cuando incumpla con las obligaciones previstas en el artículo 83.4 del RGPD.
  • De veinte millones de euros (20.000.000 €) o una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, cuando incumpla con las obligaciones previstas en el artículo 83.5 del RGPD o cuando incumpla con las resoluciones de la autoridad de protección de datos mencionadas en el apartado 2 del artículo 58 del RGPD, como por ejemplo no atender una resolución relativa a cumplir con las solicitudes de ejercicio de los derechos del interesado.

Al respecto, la LOPDGDD especifica otras infracciones que podrán ser consideradas muy graves (artículo 72 LOPDGDD), graves (artículo 73 LOPDGDD) o leves (artículo 74 LOPDGDD), que podrán ser sancionadas, respectivamente, con multas por un importe superior a 300.000 euros, que prescriben a los tres años; por un importe comprendido entre 40.001 y 300.000 euros, que prescriben a los dos años, y por un importe igual o inferior a 40.000 euros, que prescribe al año.

Y en el caso de las Administraciones Públicas, en España, el incumplimiento podría dar lugar a una resolución de la autoridad de protección de datos que declare la infracción.

Recuerde que…

  • El encargado del tratamiento, ya sea una persona física o jurídica, incluidas las autoridades públicas, trata datos personales por cuenta del responsable del tratamiento, es decir, siguiendo sus instrucciones.
  • Entre el responsable y el encargado del tratamiento es necesario un contrato u otro acto jurídico que incluya las instrucciones, obligaciones y derechos de cada uno de ellos.
  • Si el encargado del tratamiento incumple sus obligaciones, podría infringir la normativa sobre protección de datos.
  • Las infracciones podrían ser objeto de multa administrativa, en el caso de las empresas y de declaración de infracción en el caso de las Administraciones Públicas.
Subir