Encargado del Tratamiento: LOPD vs RGPD

Vendors, proveedores, terceros que prestan servicios…todos ellos forman la figura del Encargado de Tratamiento de Datos Personales. Es decir, sujetos que acceden a datos personales del Responsable del Tratamiento de los mismos. Y ¿cómo acceden? pues bien, lo hacen en nombre del Responsable. Si bien la Ley Orgánica de Protección de Datos (LOPD) ya incluía la figura del Encargado de Tratamiento, el nuevo Reglamento en materia de Protección de Datos (RGPD) vuelve a incluirla otorgándole mayores obligaciones.

A continuación, se detalla una comparativa de los principales aspectos a tener en cuenta:

1. Proceso de selección:

LOPD/RLOPD:

No existe dicha obligación

RGPD:

Proceso específico de selección. Es necesario que se preseleccione un Encargado de tratamiento que pueda cumplir con los requerimientos que impone la norma. No se permite la contratación a terceros que accedan a datos sin cumplir con las garantías suficientes en protección de datos.

2. Adhesión a un Código de Conducta o Certificación:

LOPD/RLOPD:

No se prevé dicha posibilidad

RGPD:

Se podrá utilizar la adhesión del Encargado del tratamiento a un código de conducta aprobado por la Agencia Española de Protección de Datos o a un mecanismo de certificación aprobado para demostrar la existencia de las garantías suficientes necesarias para la preselección.

3. Subcontratación:

LOPD/RLOPD:

Con carácter general se exigía autorización. Ahora bien se permite subcontratar sin autorización siempre y cuando concurran las siguientes garantías:

• Se especifiquen en el contrato los servicios que puedan ser objeto de subcontratación.
• Comunicación al Responsable los datos de la empresa subcontratada antes de la subcontratación.
• Que el tratamiento de datos de carácter personal por parte del subcontratista se ajuste a las instrucciones del responsable del fichero.
• Que el Encargado del tratamiento y la empresa subcontratista formalicen un contrato en los términos que el previsto para el Encargado y Responsable de tratamiento.

RGPD:

Autorización previa por escrito, específica o general, del Responsable.

4. Forma del contrato:

LOPD/RLOPD:

Deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido.

RGPD:

Obligación de contrato u otro acto jurídico válido en nuestro ordenamiento jurídico.

5. Contenido del contrato:

LOPD/RLOPD:

• Las medidas de seguridad detalladas que el encargado del tratamiento está obligado a implementar (Título VIII del RLOPD).
• Obligación de destruir o devolver los datos personales una vez cumplida la prestación contractual.

RGPD:

• El objeto,
• duración,
• naturaleza
• finalidad del tratamiento,
• tipo de datos personales y categorías de interesados,
• obligaciones y derechos del Responsable del tratamiento.

6. Obligaciones del Encargado de tratamiento:

LOPD/RLOPD:

Obligaciones del Encargado son:

• Tratar los datos conforme a las instrucciones del responsable del tratamiento.
• No aplicar o utilizar los datos con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

RGPD:

Obligaciones del Encargado:

• Tratar los datos personales únicamente siguiendo instrucciones documentadas del Responsable, inclusive con respecto a las transferencias de datos personales a un tercer país.
• Garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad.
• Garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria.
• Adoptar todas las medidas de seguridad, tanto técnicas como organizativas, que resulten necesarias, tomando en consideración el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas.
• Respetar las condiciones indicadas en el RGPD para recurrir a otro Encargado del tratamiento y, en particular, recabar del Responsable autorización previa por escrito, e impondrá a dicho encargado, mediante contrato, las mismas condiciones para el tratamiento de Datos de carácter personal que a él le resultan de aplicación.
• Asistir al Responsable, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los Interesados establecidos en el RGPD.
• Ayudar al Responsable a garantizar el cumplimiento de las obligaciones relativas a medidas de seguridad, comunicación de brechas de seguridad y evaluaciones de impacto (“PIAs”).
• Supresión o devolución de datos.
• Permisión en la realización de auditorías.

7. Registro de actividades de tratamiento:

LOPD/RLOPD:

No existe dicha obligación

RGPD:

El Encargado del tratamiento se encuentra obligado a la llevanza de un registro de aquellas categorías de actividades de tratamiento efectuadas por cuenta de un Responsable del tratamiento.

Dicho registro deberá contener:

• El nombre y los datos de contacto del Encargado del tratamiento o Encargados y de cada Responsable por cuenta del cual actúe el Encargado, y, en su caso, del Representante del Responsable o del Encargado del tratamiento, y del delegado de protección de datos.
• Las categorías de tratamientos efectuados por cuenta de cada Responsable del tratamiento.
• En su caso, las Transferencias de Datos personales a un tercer país u Organización internacional, incluida la identificación de dicho tercer país u Organización internacional y, en el caso de las Transferencias Internacionales realizadas a través de la aportación de garantías adecuadas, recogidas en el artículo 49, apartado 1, párrafo segundo, del RGPD la documentación de garantías adecuadas;
• Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 30, apartado 1 del RGPD.

A mayor abundamiento, este registro de tratamiento del Encargado deberá estar también a disposición de la Autoridad de Control.

Hay excepciones para guardar estos registros: el RGPD indica que, aquellas entidades con menos de 250 empleados, no estarán obligadas a guardar un registro de tratamientos, a no ser que este tratamiento comprometa los derechos y libertades de los Interesados, no se lleve a cabo de manera aislada o si incluyese Datos personales de categorías especiales relativos a condenas e infracciones penales.

8. Delegado de Protección de Datos:

LOPD/RLOPD:

No existe dicha obligación

RGPD:

Tanto el Responsable como el Encargado de tratamiento estarán obligados a designar un Delegado de Protección de Datos en aquellos supuestos que obliga el RGPD.

9. Responsabilidad:

LOPD/RLOPD:

Sólo existía responsabilidad por parte del Encargado de tratamiento si incumplía las estipulaciones del contrato.

Tampoco había responsabilidad para el Encargado de tratamiento cuando, previa indicación expresa del Responsable, comunicaba los datos a un tercero designado por aquél, al que hubiera encomendado la prestación de un servicio.

RGPD:

El Encargado será responsable de todas las infracciones relacionadas con los fines y medios de tratamiento que recoja el RGPD, sin necesidad de estar o no instruido por el Responsable del tratamiento. Si se está realizando un determinado tratamiento que no cumple con lo recogido del RGPD será directamente responsable con respecto dicho tratamiento.

Cualquier persona que sufra un daño y perjuicio podrá reclamar la indemnización debida tanto al Responsable o al Encargado de tratamiento.