Читать книгу Derecho digital - José F. Estévez - Страница 30

Es preciso establecer la obligación del encargado de poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, realizadas por el responsable o por otro auditor autorizado por el responsable.

¿El encargado tiene que ofrecer garantías suficientes?

En lo que se refiere a la elección del encargado de tratamiento, el Considerando 81 del RGPD prevé que el encargado del tratamiento debe ofrecer suficientes garantías en lo referente a conocimientos especializados, fiabilidad y recursos, con vistas a la aplicación de medidas técnicas y organizativas que cumplan los requisitos del Reglamento, incluida la seguridad del tratamiento. Para demostrar que el encargado ofrece garantías suficientes, el RGPD prevé que la adhesión a códigos de conducta o la posesión de un certificado de protección de datos pueden servir como mecanismos de prueba.

¿ El encargado tiene obligaciones propias?

Por último, cabe destacar que en determinadas materias los encargados tienen obligaciones propias que establece el RGPD que pueden ser supervisadas separadamente por las autoridades de protección de datos. Por ejemplo:

• Deben mantener un registro de actividades de tratamiento.

• Deben determinar las medidas de seguridad aplicables a los tratamientos que realizan.

• Deben designar a un Delegado de Protección de Datos en los casos previstos por el RGPD.

Los encargados pueden adherirse a códigos de conducta o certificarse en el marco de los esquemas de certificación previstos por el RGPD.

¿ Y en los casos en los que resulte de aplicación la Ley de Contratos del Sector Público?

Cuando sea de aplicación la Ley de Contratos del Sector Público habrá que tener en cuenta que la disposición adicional 25ª dispone que cuando la contratación implique el acceso del contratista a datos de carácter personal de cuyo tratamiento sea responsable la entidad contratante, el contratista tendrá la consideración de encargado del tratamiento. En estos casos también será de aplicación el régimen establecido en el RGPD.

¿Hay que informar a los titulares de los datos de carácter personal de la contratación de un encargado del tratamiento?

El RGPD no establece la obligación de informar respecto a la contratación de un encargado del tratamiento. No obstante, en algunos casos puede resultar recomendable proporcionar dicha información para una mayor transparencia en el tratamiento de los datos personales.

¿El RGPD se aplica sólo a los encargados establecidos en el territorio de la Unión Europea?

No, el Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no. Por otra parte, el RGPD también se aplicará al tratamiento de datos personales de interesados que residan en la Unión realizado por un encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con 1) La oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si se les requiere su pago. 2) El control de su comportamiento, en la medida en que tenga lugar en la Unión.

¿Existe un régimen especial para la contratación de un encargado que no esté establecido en el territorio de la Unión Europea o que efectúe el tratamiento fuera del territorio de la Unión?

La comunicación de datos personales, en el marco de un acuerdo de encargado del tratamiento, a un país que no forme parte de la Unión se rige por la regulación establecida en el Reglamento para las transferencias internacionales.

La transferencia a un tercer país en ningún caso puede suponer una reducción del nivel de protección de las personas que establece el Reglamento. Este principio también se aplica en las transferencias posteriores de datos personales, desde el tercer país a otro tercer país o una organización internacional.

Para la transferencia de datos a países que no garantizan un nivel de protección adecuado, el responsable deberá acreditar que el encargado del tratamiento está en disposición de ofrecer garantías adecuadas y, en todo caso, garantizar que los interesados cuenten con derechos exigibles y acciones legales efectivas3).