phone 915 752 750 email aec@aec.es

    La importancia de que el encargado del tratamiento siga las instrucciones del responsable

    Delegado de protección de datos > El Blog del DPD/DPO > GDPR Legal > La importancia de que el encargado del tratamiento siga las instrucciones del responsable

    LA IMPORTANCIA DE QUE EL ENCARGADO DEL TRATAMIENTO SIGA LAS INSTRUCCIONES DEL RESPONSABLE

    La importancia de que el encargado del tratamiento siga las instrucciones del responsable

    31 julio, 2023 | Blog AEC GOVERTIS | GDPR Legal

    El artículo 28 del RGPD establece que la vinculación entre responsable y encargado del tratamiento de datos debe reflejarse mediante un acto jurídico o contrato escrito. En este acto o contrato, además de definir el objeto, la duración, naturaleza, tipología y finalidad del tratamiento de datos, se establece la obligación por parte del encargado de seguir las instrucciones del responsable a lo largo de todo el tratamiento de datos, así como la necesidad de regular el régimen de subcontratación En relación a esto último, el encargado del tratamiento no recurrirá a otro encargado sin la autorización previa por escrito, específica o general, del responsable. En este último caso, el encargado informará al responsable de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al responsable la oportunidad de oponerse a dichos cambios (artículo 28.2 RGPD).

    Pues bien, la AEPD nos ha recordado la importancia de esto último, desestimando el recurso de reposición interpuesto por el reclamado contra la resolución de la AEPD dictada con fecha 4 de abril de 2023, en el expediente EXP202105473. (reposicion-ps-00668-2022.pdf (aepd.es).

    En este supuesto, se formuló la reclamación por la realización de una llamada comercial, a la línea de telefonía móvil de la reclamante, que la cual tenía por objeto ofrecer los servicios del responsable del tratamiento. A este respecto, el responsable del tratamiento indicó, inicialmente, que la llamada comercial se había realizado por un encargado del tratamiento, quien prestaba servicios de asesoría y apoyo comercial y técnico para la captación de clientes en nombre del responsable del tratamiento, incluyendo la realización de acciones de venta telefónica.

    No obstante lo anterior, tras las averiguaciones oportunas por el responsable a través de la información facilitada por su encargado, este último reconoció que la llamada telefónica en cuestión había sido realizada por una entidad subcontratada para tal fin. El responsable manifestó al respecto que no conocía esta subcontratación y que la misma se realizó sin su consentimiento, a pesar de que el Contrato de Servicios y el Contrato de Encargo del Tratamiento, celebrados entre responsable y encargado, prohibían expresamente la subcontratación de trabajos sin la aprobación previa y por escrito del responsable.

    En consecuencia, la #AEPD considera que los hechos expuestos vulneran lo dispuesto en el artículo 28 del #RGPD por parte del encargado del tratamiento, que da lugar a la aplicación de los poderes correctivos que se indican en el artículo 58 del citado Reglamento.

    Tras el análisis del caso, podemos extraer dos conclusiones fundamentales. La primera, la obligación por parte del encargado de respetar lo establecido en el contrato de encargo y no recurrir a otro encargado, sin la autorización previa por escrito, específica o general, del responsable; a quien deberá informar de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dándole la oportunidad de oponerse a dichos cambios, según se establezca. Es por esto que, es aconsejable que entre las instrucciones, que transmita el responsable del tratamiento, a través del contrato de encargo, se recoja perfectamente estos extremos. La segunda, de igual importancia y exigida explícitamente (artículo 28.1 RGPD), la diligencia que debe tener el responsable del tratamiento, al momento de elegir (diligencia in eligiendo) únicamente a aquellos encargados, que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del Reglamento y garantice la protección de los derechos del interesado, así como supervisar el cumplimiento del contrato por parte del encargado (diligencia in vigilando).

    Víctor Bermejo Sánchez GRC Consultant

    Equipo Govertis

     

     

    Tags: