Читать книгу Derecho digital - José F. Estévez - Страница 22

¿Quién es un encargado del tratamiento? ¿Cómo distinguir un encargo de una cesión de datos?

Tal y como indica el articulo 4 letra 8 del RGPD el encargado del tratamiento de datos es la persona física o jurídica, autoridad pública, servicio u otro organismo que gestione datos personales por cuenta del responsable del tratamiento, es decir, por cuenta de la persona física o jurídica que determine los fines y medios del tratamiento. En esta misma línea, el artículo 33.1 del Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal (en adelante, Proyecto de LOPD) precisa que “El acceso por parte de un encargado de tratamiento a los datos personales que resulten necesarios para la prestación de un servicio al responsable no se considerará comunicación de datos siempre que se cumpla lo establecido en el Reglamento (UE) 2016/679, en la presente ley orgánica y en sus normas de desarrollo”.

Por tanto, para poder distinguir de forma clara las figuras del responsable y del encargado debemos tener en cuenta que corresponde al responsable decidir sobre la finalidad y los usos de los datos de carácter personal objeto de tratamiento, mientras que el encargado del tratamiento debe cumplir con las instrucciones del responsable del tratamiento que es quien le contrata un determinado servicio (a modo de ejemplo, servicios de hosting, de destrucción de documentos, etc.) que conlleva el acceso o la posibilidad de acceder a datos de carácter personal titularidad de la empresa contratante.

Así las cosas, para distinguir una cesión de datos de un acceso por cuenta de tercero bastará tener en cuenta que en la cesión de datos el cesionario destina la información a la que accede a un fin propio convirtiéndose, por tanto, a su vez en responsable del tratamiento de los datos. Sin embargo, el encargado del tratamiento se limita a cumplir con la finalidad definida por el responsable, que es quien le contrata un determinado servicio. En consecuencia, es importante destacar que el encargado del tratamiento no debe establecer vínculo alguno (en su nombre) con los titulares de los datos ni utilizar los datos para su propia finalidad. En este sentido, tal y como precisa el artículo 33.2 del Proyecto de LOPD tendrá la consideración de responsable del tratamiento y no la de encargado quien en su propio nombre y sin que conste que actúa por cuenta de otro, establezca relaciones con los afectados (es decir, con los titulares de los datos) aun cuando exista un contrato de encargado del tratamiento.

¿Cuáles son los requisitos de un contrato de encargado del tratamiento?

Con respecto a las obligaciones, el artículo 28.3 del RGPD precisa que el tratamiento por el encargado se regirá por un contrato u otro acto jurídico que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales, categorías de interesados, y las obligaciones y derechos del responsable. En las recientes “Directrices para la elaboración de contratos entre responsables y encargados del tratamiento” publicadas por la Agencia Española de Protección de Datos (en adelante, “las Directrices de la AEPD2)”) la Agencia ofrece un modelo orientativo para la elaboración del citado contrato de encargado de tratamiento señalando asimismo que en dicho acto jurídico se estipularán los aparatados que resumimos brevemente a continuación: