Encargado del Tratamiento de Datos
El Encargado del Tratamiento es la empresa o entidad que trata datos personales por cuenta de un responsable, con contrato formalizado y obligaciones propias establecidas por el RGPD.
01 Definición
El encargado del tratamiento es la persona física o jurídica que trata datos personales por cuenta del responsable del tratamiento. La relación entre responsable y encargado debe formalizarse mediante un contrato de encargo de tratamiento (también llamado DPA, Data Processing Agreement) que establece las instrucciones, las medidas de seguridad, las obligaciones de subcontratación, los plazos de conservación y el régimen de devolución o destrucción de datos.
El encargado solo puede tratar los datos de acuerdo con las instrucciones del responsable, está obligado a garantizar la confidencialidad de los datos, y debe notificar al responsable cualquier violación de seguridad sin dilación indebida.
02 Qué significa para las AAPP
Cuando una AAPP contrata un proveedor tecnológico que va a tener acceso a datos de ciudadanos (por ejemplo, un proveedor de chatbot que procesa consultas), ese proveedor actúa como encargado del tratamiento y la AAPP como responsable. La firma del contrato de encargo es obligatoria antes del inicio del tratamiento.
En los pliegos de contratación pública, la cláusula de protección de datos debe especificar que el adjudicatario actúa como encargado del tratamiento y debe incluir los requisitos mínimos del art. 28 RGPD.
03 Cómo lo aborda Agento
Agento incluye en su contrato de servicio el contrato de encargo de tratamiento completo, adaptado a los requisitos del art. 28 RGPD y la LOPDGDD. El contrato especifica qué datos se tratan, con qué finalidad, durante cuánto tiempo, y las medidas de seguridad implementadas. Está diseñado para poder adjuntarse directamente al expediente de contratación pública.