El RGPD modifica las obligaciones derivadas de la relación jurídica entre el responsable del tratamiento y el encargado del mismo. Incluye obligaciones dirigidas a los encargados y exige al responsable una mayor implicación para garantizar que encargados y subencargados cumplen con la seguridad exigida por la nueva normativa en el tratamiento de los datos de carácter personal. Además, el contrato o acto jurídico que regule la relación responsable-encargado deberá cumplir el contenido mínimo que establece el RGPD.
Obligaciones específicas para los encargados
Hasta la aplicación directa del RGPD nos hemos encontrado con una regulación centrada casi exclusivamente en la actividad de los responsables. A partir de 2018, con el nuevo Reglamento, se establecen obligaciones para los encargados. Esta novedad no se traduce en una menor carga para el responsable, pues la responsabilidad última se sigue atribuyendo al mismo, quien seguirá determinando la existencia del tratamiento y su finalidad. Los cambios se refieren a la introducción de obligaciones propias para los encargados en determinadas materias (por ejemplo: deben mantener un registro de actividades de tratamiento). Estas obligaciones, como ha puntualizado la Agencia Española de Protección de Datos (en adelante, AEPD) en la Guía del Reglamento General de Protección de Datos para Responsables de Tratamiento, no se circunscriben al ámbito del contrato que regula su relación con el responsables y pueden ser supervisadas separadamente por las autoridades de protección de datos.
Responsabilidad activa en la elección del encargado del tratamiento
Con el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD se establecía la obligación para el responsable del tratamiento de actuar con diligencia debida en la elección del encargado del tratamiento. Con el RGPD se da un paso más al aplicar en este campo el principio de responsabilidad activa que supone para el responsable la obligación de adoptar la decisión de manera que garantice y pueda acreditar que el tratamiento se realiza conforme el RGPD. Para poder probar lo anterior, se recomienda formalizar el contrato con encargados o subencargados que se encuentren adheridos a códigos de conducta o se certifiquen dentro de las pautas previstas por el RGPD para demostrar que el encargo se va a llevar en consonancia con las exigencias previstas en el nuevo Reglamento.
¿Hay que modificar los contratos de encargo formalizados antes de 2018?
Tal y como ha declarado la AEPD, los contratos de encargo formalizados con anterioridad a la aplicación del RGPD en mayo de 2018 deberán ser modificados y adaptados para respetar el contenido mínimo que exige el RGPD. Este contenido mínimo se regula de forma detallada en el nuevo Reglamento, debiendo tenerse en cuenta aspectos tales como: objeto, duración, naturaleza y finalidad de los tratamientos; tipos de datos personales y categorías de interesados; obligación del encargado de tratar los datos personales únicamente siguiendo instrucciones documentadas del responsable; condiciones para que el responsable pueda dar su autorización previa, específica o general, a las subcontrataciones; asistencia al responsable, siempre que sea posible, en la atención al ejercicio de derechos de los interesados; etc.