{"id":1240,"date":"2019-12-10T16:16:09","date_gmt":"2019-12-10T15:16:09","guid":{"rendered":"http:\/\/revistaconsell.com\/?p=1240"},"modified":"2020-06-11T09:05:07","modified_gmt":"2020-06-11T08:05:07","slug":"responsable-de-tractament-encarregat-de-tractament-i-contracte-dencarrec-en-la-proteccio-de-dades-personals-5","status":"publish","type":"post","link":"https:\/\/revistaconsell.com\/es\/responsable-de-tractament-encarregat-de-tractament-i-contracte-dencarrec-en-la-proteccio-de-dades-personals-5\/","title":{"rendered":"Responsable de tractament, encarregat de tractament i contracte d\u2019enc\u00e0rrec en la protecci\u00f3 de dades personals"},"content":{"rendered":"\n\n\n\t
\n\n\t\t<\/i><\/span> PDF<\/a>\n\n\t<\/div>\n\n\n\n\n\n\n

Les figures del Responsable del tractament i de l\u2019Encarregat del tractament no s\u00f3n noves en la normativa de protecci\u00f3 de dades. El Reglament de desenvolupament de la LOPD del 1999 (RD 1720\/2007 de 21 de desembre) ja definia clarament aquests dos rols. Com tamb\u00e9 ho fa el Reglament (UE) 2016\/679 del Parlament Europeu<\/p>\n\n\n\n

La normativa anterior es referia al Responsable com a \u00abResponsable del fitxer o del tractament\u00bb, la qual cosa comportava un cert nivell de confusi\u00f3, en la mesura en que es podia confondre el fitxer amb el tractament. La normativa actual parla \u00fanicament de Responsable del tractament, elimina aquesta potencial confusi\u00f3 i ajuda enormement a identificar aquesta figura.<\/p>\n\n\n\n

El Responsable i l\u2019Encarregat del tractament <\/h2>\n\n\n\n

En parlar \u00fanicament de tractament ens obliga a centrar-nos en aquest concepte per entendre el seu abast. El tractament no \u00e9s altra cosa que qualsevol operaci\u00f3 o conjunt d\u2019operacions realitzades amb dades personals o conjunts de dades personals. Aquestes operacions poden ser molt variades \u2014el RGPDUE ofereix una llista oberta de tractaments\u2014, i abasten operacions tan senzilles com la recollida de les dades o la seva conservaci\u00f3 (emmagatzematge) i inclouen, fins i tot, l\u2019habilitaci\u00f3 d\u2019acc\u00e9s i la supressi\u00f3 o destrucci\u00f3. Per tant, sobre un mateix conjunt de dades (per exemple, les dels nostres clients) es poden realitzar m\u00faltiples tractaments, com ara la facturaci\u00f3, l\u2019enviament de comunicacions comercials o una c\u00f2pia de seguretat.<\/p>\n\n\n\n

Si ens centrem en aquest concepte de tractament, ens ser\u00e0 f\u00e0cil entendre que el Responsable del tractament \u00e9s aquella persona (persona f\u00edsica o jur\u00eddica, autoritat p\u00fablica, servei o un altre organisme) que determina les finalitats i els mitjans del tractament. I ho pot fer sola o conjuntament amb altres responsables. \u00c9s a dir, \u00e9s qui determina quins tractaments es faran i amb quina finalitat.<\/p>\n\n\n\n

El tractament no \u00e9s altra cosa que qualsevol operaci\u00f3 o conjunt d\u2019operacions realitzades amb dades personals o conjunts de dades personals<\/p><\/blockquote>\n\n\n\n

Aquest Responsable del tractament pot efectuar els tractaments que hagi determinat, ja sigui pel seu compte o encarregant aquesta tasca a un tercer: l\u2019Encarregat del tractament. I pot encarregar un o tots els tractaments. Per tant, la figura de l\u2019Encarregat del tractament \u00e9s una figura subordinada a la del Responsable, perqu\u00e8, tal com queda reflectit en la definici\u00f3 que es fa en el RGDPUE, l\u2019Encarregat del tractament \u00e9s la persona f\u00edsica o jur\u00eddica, autoritat p\u00fablica, servei o un altre organisme que tracti dades personals per compte del responsable del tractament. I l\u2019expressi\u00f3 \u00abper compte\u00bb inclou que l\u2019Encarregat ha de seguir les instruccions del Responsable.<\/p>\n\n\n\n

Relaci\u00f3 jur\u00eddica entre Responsable i Encarregat<\/h2>\n\n\n\n

El Reglament de desenvolupament de la LOPD del 1999 era m\u00e9s contundent en aquest aspecte, ja que es referia a l\u2019activitat de l\u2019Encarregat del tractament dient que realitza el tractament \u00abper compte del responsable del tractament (\u2026), com a conseq\u00fc\u00e8ncia de l\u2019exist\u00e8ncia d\u2019una relaci\u00f3 jur\u00eddica que el vincula amb el mateix i delimita l\u2019\u00e0mbit de la seva actuaci\u00f3 per a la prestaci\u00f3 d\u2019un servei\u00bb. La normativa actual no fa refer\u00e8ncia a cap relaci\u00f3 jur\u00eddica vinculant entre el Responsable del tractament i l\u2019Encarregat del tractament quan defineix aquest rol, la qual cosa podria semblar un pas enrere o una manca de concreci\u00f3. Efectivament, el RGPDUE no defineix el rol d\u2019encarregat vinculant-lo a cap relaci\u00f3 jur\u00eddica per\u00f2, quan regula la figura de l\u2019Encarregat del tractament al seu article 28, deixa molt clar que \u00abel tractament per l\u2019encarregat es regir\u00e0 per un contracte o un altre acte jur\u00eddic d\u2019acord amb el Dret de la Uni\u00f3 o dels estats membres, que vinculi l\u2019encarregat respecte del responsable i estableixi l\u2019objecte, la durada, la naturalesa i la finalitat del tractament, el tipus de dades personals i categories d\u2019interessats, i les obligacions i drets del responsable\u00bb. I, en aquest mateix article, regula el contingut m\u00ednim d\u2019aquest contracte d\u2019enc\u00e0rrec, alhora que el converteix en obligatori.<\/p>\n\n\n\n

A m\u00e9s, cal tenir present que el RGPDUE, en el mateix article 28, deixa molt clar que el Responsable del tractament \u00abtriar\u00e0 \u00fanicament un encarregat que ofereixi garanties suficients per aplicar mesures t\u00e8cniques i organitzatives apropiades, de manera que el tractament sigui conforme amb els requisits d\u2019aquest Reglament i garanteixi la protecci\u00f3 dels drets de l\u2019interessat\u00bb, de manera que determina clarament el deure in eligendo que recau sobre el Responsable del tractament.<\/p>\n\n\n\n

Dit d\u2019una altra manera, no nom\u00e9s s\u2019ha de materialitzar documentalment l\u2019enc\u00e0rrec de tractament que es fa, amb el detall de quines dades i quins tractaments abasta l\u2019enc\u00e0rrec, sin\u00f3 que l\u2019elecci\u00f3 de l\u2019Encarregat s\u2019ha de fer amb una m\u00ednima cautela. O sigui, demanant certes garanties.<\/p>\n\n\n\n

Subcontractaci\u00f3 del Tractament de dades<\/h2>\n\n\n\n

Aquests dos rols, el de Responsable i el d\u2019Encarregat, poden perfectament recaure de forma simult\u00e0nia en una mateixa persona, tot i que no, \u00f2bviament, respecte de les mateixes dades i tractaments. Aix\u00ed, per exemple, en una relaci\u00f3 entre una Comunitat de Propietaris i un Administrador de Finques, existeix una relaci\u00f3 de Responsable (Comunitat de Propietaris) i Encarregat (Administrador de Finques) en tot all\u00f2 que es refereix a les dades dels propietaris d\u2019aquesta Comunitat. Efectivament, la Comunitat de Propietaris encarrega a l\u2019Administrador de Finques el tractament, especialment en la mesura en que la Comunitat de Propietaris pot escollir l\u2019Administrador de Finques que desitgi.<\/p>\n\n\n\n

El Responsable del tractament \u00e9s aquella persona (persona f\u00edsica o jur\u00eddica, autoritat p\u00fablica, servei o un altre organisme) que determina les finalitats i els mitjans del tractament<\/p><\/blockquote>\n\n\n\n

Aquest mateix Administrador de Finques, per\u00f2, \u00e9s Responsable del tractament de les dades personals que controla directament, com ara les dels seus empleats, els seus prove\u00efdors, els seus clients (persones f\u00edsiques, ja que les altres no tenen consideraci\u00f3 de subjectes a protegir per la normativa de protecci\u00f3 de dades personals). I, naturalment, pot encarregar el tractament d\u2019aquestes dades a tercers, que seran els Encarregats del tractament. Si contracta els serveis de c\u00f2pia de seguretat de les seves dades a una empresa especialitzada, aquesta empresa ser\u00e0 Encarregada del tractament de totes les dades de les quals se\u2019n faci c\u00f2pia de seguretat, de la mateixa manera que si encarrega a una gestoria totes les gestions de caire laboral, com ara la confecci\u00f3 de les n\u00f2mines dels seus empleats, aquesta gestoria ser\u00e0 tamb\u00e9 Encarregada del tractament d\u2019aquestes dades.<\/p>\n\n\n\n

A l\u2019hora d\u2019escollir l\u2019Encarregat del tractament i documentar la relaci\u00f3 jur\u00eddica amb ell mitjan\u00e7ant el contracte d\u2019enc\u00e0rrec de tractament, ser\u00e0 tamb\u00e9 convenient valorar si aquest Encarregat podr\u00e0 o no subencarregar certs tractaments a un tercer. \u00c9s una casu\u00edstica m\u00e9s freq\u00fcent que en un primer moment es pot pensar: aquesta gestoria a la qual encarreguem les n\u00f2mines dels nostres empleats, segurament far\u00e0 c\u00f2pies de seguretat de les dades personals que li encomanem que tracti, la qual cosa significa que aquell tercer que faci aquest tractament (c\u00f2pies de seguretat) ho faci en qualitat de sotsencarregat quant a les dades de les quals som Responsables.<\/p>\n\n\n\n

La normativa ja contempla aquesta possibilitat, ja que l\u2019article 28, al qual ens hem referit abans, tamb\u00e9 especifica que quan un encarregat del tractament recorri a un altre encarregat per dur a terme determinades activitats de tractament per compte del responsable, s\u2019imposaran a aquest altre encarregat, mitjan\u00e7ant contracte o un altre acte jur\u00eddic equivalent, les mateixes obligacions de protecci\u00f3 de dades que les estipulades en el contracte o un altre acte jur\u00eddic, entre el responsable i l\u2019encarregat. Aix\u00f2 en cas que decidim autoritzar l\u2019Encarregat del tractament perqu\u00e8 subencarregui determinats tractaments; res no ens impedeix excloure possibles tractaments de l\u2019\u00e0mbit d\u2019un subenc\u00e0rrec, com pot ser, per exemple, que s\u2019esculli un sotsencarregat ubicat fora del territori de la UE o de l\u2019Espai Econ\u00f2mic Europeu, per evitar inc\u00f3rrer en una transfer\u00e8ncia internacional de dades personals. El Responsable del tractament, com a responsable, est\u00e0 perfectament facultat per imposar aquestes restriccions. Per aix\u00f2, \u00e9s important revisar a fons els contractes d\u2019enc\u00e0rrec de tractament, i evitar, sempre que sigui possible, els contractes d\u2019adhesi\u00f3 a serveis en els quals no podem negociar aquests aspectes.<\/p>\n\n\n\n

Contingut m\u00ednim del contracte d\u2019enc\u00e0rrec<\/h2>\n\n\n\n

Com hem vist, el RGPDUE ja contempla un contingut m\u00ednim del contracte d\u2019enc\u00e0rrec de tractament de dades personals. La Llei Org\u00e0nica 3\/2018, de 5 de desembre, de protecci\u00f3 de dades personals i garantia dels drets digitals no fa cap previsi\u00f3 al respecte, en la mesura que remet directament a l\u2019article 28 del RGPDUE. Aix\u00ed doncs, el contingut m\u00ednim imprescindible que haurem d\u2019incloure en el contracte d\u2019enc\u00e0rrec \u00e9s:<\/p>\n\n\n\n

\u2022 Les instruccions del Responsable del tractament a l\u2019Encarregat;
\n\u2022 El deure de confidencialitat respecte de les dades objecte de tractament;
\n\u2022 Les mesures de seguretat, tant t\u00e8cniques com organitzatives;
\n\u2022 El r\u00e8gim de la subcontractaci\u00f3;
\n\u2022 Els drets dels interessats (com exercir-los i demostrar el seu compliment);
\n\u2022 La col\u00b7laboraci\u00f3 en el compliment de les obligacions del Responsable;
\n\u2022 La destinaci\u00f3 de les dades en acabar la prestaci\u00f3;
\n\u2022 La col\u00b7laboraci\u00f3 amb el responsable per demostrar el compliment.<\/p>\n\n\n\n

Per tant, en conson\u00e0ncia amb aquest contingut m\u00ednim del contracte d\u2019enc\u00e0rrec, la seva estructura m\u00ednima haur\u00e0 de contenir els seg\u00fcents apartats:<\/p>\n\n\n\n

  1. Objecte de l\u2019enc\u00e0rrec del tractament: els tractaments concrets que s\u2019encarreguen;<\/li>
  2. Identificaci\u00f3 de la informaci\u00f3 afectada;<\/li>
  3. Durada;<\/li>
  4. Obligacions de l\u2019Encarregat del tractament;<\/li>
  5. Obligacions del Responsable del tractament.<\/li><\/ol>\n\n\n\n

    Existeixen nombroses plantilles de contractes d\u2019enc\u00e0rrec de tractament, de diversa complexitat i que cobreixen molts sup\u00f2sits. De fet, l\u2019Agencia Espa\u00f1ola de Protecci\u00f3n de Datos (AEPD) disposa d\u2019una guia per elaborar aquests contractes<\/a>. \u00c9s convenient, per\u00f2, que abans d\u2019abordar aquesta tasca tinguem ben clars els rols: responsable, encarregat i, si \u00e9s el cas, sotsencarregat; les dades a tractar; i, especialment, els tractaments que seran objecte d\u2019enc\u00e0rrec. Adoptar un model o una plantilla sense analitzar aquests aspectes pot comportar que el contracte d\u2019enc\u00e0rrec que acabem confeccionant resulti impossible de complir o que sigui inefica\u00e7. I, com en totes les disciplines, si no veiem clars els rols i\/o els tractaments, \u00e9s molt recomanable demanar consell especialitzat en la mat\u00e8ria, ni que sigui per all\u00f2 que els arbres no ens deixin veure el bosc.i del Consell, de 27 d\u2019abril de 2016, \u2014conegut tamb\u00e9 com a RGPDUE\u2014 en termes molt similars.<\/p>\n","protected":false},"excerpt":{"rendered":"

    PDF Les figures del Responsable del tractament i de l\u2019Encarregat del tractament no s\u00f3n noves en la normativa de protecci\u00f3 de dades. El Reglament de desenvolupament de la LOPD del 1999 (RD 1720\/2007 de 21 de desembre) ja definia clarament aquests dos rols. Com tamb\u00e9 ho fa el Reglament (UE) 2016\/679 del Parlament Europeu La […]<\/p>\n","protected":false},"author":11,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"advgb_blocks_editor_width":"","advgb_blocks_columns_visual_guide":"","_editorskit_title_hidden":false,"_editorskit_reading_time":0},"categories":[82],"tags":[],"author_meta":{"display_name":"finderwilber","author_link":"https:\/\/revistaconsell.com\/es\/author\/finderwilber\/"},"featured_img":null,"_links":{"self":[{"href":"https:\/\/revistaconsell.com\/es\/wp-json\/wp\/v2\/posts\/1240\/"}],"collection":[{"href":"https:\/\/revistaconsell.com\/es\/wp-json\/wp\/v2\/posts\/"}],"about":[{"href":"https:\/\/revistaconsell.com\/es\/wp-json\/wp\/v2\/types\/post\/"}],"author":[{"embeddable":true,"href":"https:\/\/revistaconsell.com\/es\/wp-json\/wp\/v2\/users\/11\/"}],"replies":[{"embeddable":true,"href":"https:\/\/revistaconsell.com\/es\/wp-json\/wp\/v2\/comments\/?post=1240"}],"version-history":[{"count":1,"href":"https:\/\/revistaconsell.com\/es\/wp-json\/wp\/v2\/posts\/1240\/revisions\/"}],"predecessor-version":[{"id":1241,"href":"https:\/\/revistaconsell.com\/es\/wp-json\/wp\/v2\/posts\/1240\/revisions\/1241\/"}],"wp:attachment":[{"href":"https:\/\/revistaconsell.com\/es\/wp-json\/wp\/v2\/media\/?parent=1240"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/revistaconsell.com\/es\/wp-json\/wp\/v2\/categories\/?post=1240"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/revistaconsell.com\/es\/wp-json\/wp\/v2\/tags\/?post=1240"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}