El Subencargado del tratamiento: el gran olvidado
¿Tienes un Subencargado del tratamiento?, ¿Eres un Subencargado del tratamiento?
Si no sabes muy bien que contestar, es muy probable que algo se te escape en materia de protección de datos.
Si prestas servicios a clientes que impliquen un tratamiento de datos personales de su responsabilidad, ¡esto te interesa!
Definición de Subencargado del tratamiento
En el artículo 4 del Reglamento Europeo de Protección de Datos 679/2016 (RGPD), se exponen aquellas definiciones que son interés a efectos de entender dicho Reglamento, pero esta figura no se hace constar en este y lo más próximo que disponemos para definirlo, es en el apartado 8 de dicho artículo, que corresponde a la definición de “Encargado del tratamiento”, que se sería:
“la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento”
Es decir, que si tu cliente (Responsable del tratamiento), contrata tus servicios y estos implican el tratamiento de datos personales de su responsabilidad para una finalidad concreta que te ha encomendado, tu empresa sería su Encargado del tratamiento.
Pero si para prestar dichos servicios, necesitas contar con un proveedor y este también trata los datos de tu cliente, por fin llegamos al Subencargado del tratamiento.
Ejemplo de Subencargados
En agosto del año pasado, la AEPD hizo pública una resolución sobre un proceso sancionador (PS- 00243-2023) en donde una persona realizó una compra online en una gran superficie, eligiendo la entrega a domicilio para recibir su pedido.
Cabe señalar que la empresa repartidora/transportista era distinta a quién vendía el producto; es decir, estamos ante un supuesto donde existe un Responsable del tratamiento (empresa vendedora del producto) y un Encargado del Tratamiento (empresa repartidora/transportista).
En la investigación llevada a cabo por la AEPD, se detectó que el Encargado del tratamiento tenía un acuerdo verbal con un subencargado, que era quien realmente realizaba el transporte y entrega de los bienes comprados online, sin que quedara estipulado en ningún documento vinculante entre las partes, según establece la normativa de protección de datos.
La sanción a la que se enfrentó el Encargado del tratamiento, por no haber formalizado su relación con el Subencargado le acarreó una sanción de 120.000 euros.
Como regular la relación con el Subencargado
Detallamos a continuación los requisitos que un Encargado del tratamiento debe cumplir para regularizar su relación con los subencargados:
Artículo 28.2 del RGPD
El Encargado del tratamiento no recurrirá a un Subencargado sin contar con la autorización previa y por escrito, por parte del Responsable del tratamiento.
De la misma forma, el Encargado informará al Responsable de cualquier incorporación o sustitución de Subencargados, ofreciendo la posibilidad al Responsable de oponerse a ello.
Artículo 28.4 del RGPD
De la misma forma que el Responsable y el Encargado formalizan su relación en un contrato, este último deberá firmar un contrato con sus Subencargados.
Dicho contrato impondrá las mismas obligaciones que el Encargado, asume en materia de protección de datos, en concreto la aplicación de medidas técnicas y organizativas adecuadas para dar cumplimiento al RGPD.
Responsabilidad del Encargado frente a las actuaciones del Subencargado
El Encargado del tratamiento deberá tener muy en cuenta que, si el Subencargado incumpliese con sus obligaciones en materia de protección de datos, será responsable ante su cliente o Responsable del tratamiento.
Business Adapter® a tu servicio
Independientemente de si actúas como Responsable, Encargado o Subencargado, si quieres que te redactemos un contrato para cumplir el RGPD y evitar sanciones, contáctanos en el email: info@businessadapter.es, también puedes llamar al 96 131 88 04, o deja tu mensaje en este formulario: