El artículo 4 del nuevo Reglamento europeo de Protección de Datos, en adelante el nuevo Reglamento, define al encargado del tratamiento como aquella “persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.”
Al igual que el responsable del tratamiento, el encargado asume las normas corporativas vinculantes sobre protección de datos, en relación con los datos de los que es encargado por motivo de la relación profesional que mantengan con el responsable.
En su exposición de motivos, el nuevo Reglamento advierte que el tratamiento que lleve a cabo un encargado debe regirse por un contrato o acto jurídico que prevea lo siguiente: el vínculo con el responsable; el objeto y la duración del tratamiento; la naturaleza y fines del tratamiento; el tipo de datos personales y las categorías de interesados, teniendo en cuenta las funciones y responsabilidades específicas que tendrá en relación con el tratamiento de los datos personales a los cuales tenga acceso.
Hay que tener en cuenta también, como novedad introducida por el nuevo Reglamento, que siguiendo lo previsto en el artículo 28.4, el encargado del tratamiento podrá recurrir al denominado “subencargado” para que éste lleve a cabo determinadas actividades de tratamiento por cuenta del responsable. Dichas actividades se preverán igualmente mediante contrato u otro acto jurídico, siguiendo los mismos criterios que el contrato establecido entre el responsable y el encargado. Sin embargo, estos últimos no deben olvidar que si el “subencargado” incumple sus obligaciones de protección de datos, ellos seguirán respondiendo totalmente ante el responsable del tratamiento por dicho incumplimiento.
En este contexto pues, conviene hablar brevemente de los diferentes deberes que corresponderán a un encargado del tratamiento. En primer lugar, el nuevo Reglamento establece que, una vez finalizado el tratamiento por cuenta del responsable, el encargado deberá devolver o suprimir los datos personales en función de lo que le indique el responsable. En relación con ello, el nuevo Reglamento recomienda que se mantengan registros de las actividades llevadas a cabo respecto a los datos de carácter personal, para el caso en que se ponga en duda o se puedan llegar a derivar responsabilidades de su tratamiento.
En segundo lugar, el encargado no deberá actuar discrecionalmente en relación con el tratamiento de los datos personales a los que tenga acceso. En otras palabras, deberá seguir las instrucciones del responsable, a no ser que esté obligado a actuar de forma distinta en virtud del Derecho de la Unión o de los Estados miembros.
Igualmente, y en último lugar, los encargados deben asegurar un nivel de seguridad adecuado, incluida la confidencialidad, siempre teniendo en consideración el estado de la técnica y el carácter de los datos personales que deban proteger. También será un deber del encargado prestar asistencia al responsable del tratamiento a fin de garantizar que se cumplen las obligaciones que se derivan de la realización de las evaluaciones de impacto relativas a la protección de datos por diseño y de la consulta previa a la autoridad de control.
Por todo ello, cualquier encargado del tratamiento de datos personales debe tener muy presente que deberá indemnizar cualesquiera daños y perjuicios que pueda sufrir una persona como consecuencia de un tratamiento que no cumpla con el nuevo Reglamento.
