La Ley Orgánica de Protección de Datos Personales (LOPDP) define al encargado del tratamiento de datos personales como la “persona natural o jurídica, pública o privada, autoridad pública, u otro organismo que solo o conjuntamente con otros trate datos personales a nombre y por cuenta de un responsable de tratamiento de datos personales”[1]. Por otro lado, la ley define al responsable de tratamiento de datos personales como la “persona natural o jurídica, pública o privada, autoridad pública, u otro organismo, que solo o conjuntamente con otros decide sobre la finalidad y el tratamiento de datos personales”[2].

A partir de estas definiciones y de acuerdo a la ley, es posible afirmar que ambos son partes integrantes del sistema de protección de datos personales y que cada uno posee funciones específicas. En ese sentido, es importante conocer cómo se establece la relación entre ellos y su forma de regularse.

Para el efecto, es fundamental empezar por conocer lo que establece el artículo 34 de la LOPDP:

“(…) El tratamiento de datos personales realizado por el encargado deberá estar regulado por un contrato, en el que se establezca de manera clara y precisa que el encargado del tratamiento de datos personales tratará únicamente los mismos conforme las instrucciones del responsable y que no los utilizará para finalidades diferentes a las señaladas en el contrato, ni que los transferirá o comunicará ni siquiera para su conservación a otras personas.

Una vez que se haya cumplido la prestación contractual, los datos personales deberán ser destruidos o devueltos al responsable del tratamiento de datos personales bajo la supervisión de la Autoridad de Protección de Datos Personales.

El encargado será responsable de las infracciones derivadas del incumplimiento de las condiciones de tratamiento de datos personales establecidas en la presente ley”.

Es así que, los encargados pueden prestar diversos servicios para el tratamiento de datos a nombre del responsable, con la condición de que esta relación esté siempre regulada por un contrato. Este contrato debe cumplir con ciertas características para su validez, entre ellas elementos básicos tales como el objeto, la duración, la naturaleza, etc. Por otro lado, existen elementos particulares que se deben tomar en cuenta al momento de celebrar este tipo de contratos, como, por ejemplo:

• El tratamiento de datos engloba diversas actividades (tales como: recogida, organización, conservación, modificación, transmisión, limitación, supresión, etc.), por lo que es necesario que en el contrato se establezca de manera clara y delimitada las actividades que el responsable va a encomendar formalmente al encargado.
• Entre las obligaciones del encargado debe quedar claramente establecido que deberá seguir las instrucciones del responsable en todo momento. Además, no podrá tratar los datos con otras finalidades distintas para las que fueron encomendadas.
• Se debe estipular qué tipo o categoría de datos se van a encomendar al encargado para el ejercicio de sus funciones.
• Es necesario estipular el deber de confidencialidad del encargado y las personas que éste autorice para tratar los datos. Esto puede incluirse como una cláusula dentro del contrato de la prestación del servicio o como un acuerdo independiente.
• El responsable y el encargado deberán establecer las medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado al riesgo existente en el tratamiento de los datos.
• Es fundamental establecer el destino de los datos una vez que el servicio concluya (supresión, devolución, etc.), así como la forma y plazo para cumplir con dicha obligación.
• El encargado deberá colaborar en todo momento con el responsable para que éste último pueda demostrar que está cumpliendo con sus obligaciones respecto de la protección de datos personales frente a los titulares, así como las autoridades competentes o cualquier otra que lo requiera.

Tal como se puede observar, el encargado realiza actividades sensibles y debe ser muy meticuloso en su trabajo. En ese sentido, sugerimos que el responsable realice un análisis adecuado previo a elegir un encargado. Además, la ley establece que el encargado deberá ser una persona que ofrezca garantías suficientes respecto a la implantación y el mantenimiento de las medidas técnicas y organizativas apropiadas en el ejercicio de las actividades que le han sido encomendadas, así como garantizar la protección de los derechos de los titulares de los datos.

Belén Viteri

[1] Art. 4, LOPDP.

[2] Art. 4, LOPDP.