Según el art.4.8 del Reglamento General de Protección de Datos, el encargado del tratamiento es aquella “persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento”. El Reglamento estipula que el tratamiento que lleve a cabo un encargado debe regirse por un contrato o acto jurídico. Este contrato es el contrato de acceso de datos.
El contrato de acceso a datos debe contemplar, además la subcontratación de los servicios principales objeto del contrato que va a realizar el encargado, ya que los servicios auxiliares que el encargado de tratamiento tenga a su disposición y que sean necesarios para el desarrollo de la actividad principal contratada con el responsable, no se considera subcontratación. Como ejemplo podría ser una asesoría a la que yo contrato, y ésta, en vez de realizar las nóminas (actividad principal del contrato) subcontrata a otra entidad para que lo lleve a cabo, la primera asesoría tendrá que hacer un contrato de encargado de tratamiento con esta última.
A la hora de formalizar la subcontratación se debe tener en cuenta diferentes aspectos:
En primer lugar, cuando el encargado subcontrate actividades principales del tratamiento con otro subencargado, debe informarlo por escrito en el contrato de acceso a datos.
Si en el contrato de acceso a datos se hubiera dejado indicada de forma genérica, en el caso de que el encargado vaya a realizar una subcontratación, deberá comunicarlo por escrito al responsable en un plazo aconsejable de máximo 30 días, para que éste pueda oponerse o no a la subcontratación.
Por último, el encargado de tratamiento tendrá que formalizar un contrato de acceso a datos con el subencargado, para regular la situación, convirtiéndose así en responsable del tratamiento, además responderá del incumplimiento del subencargado ante el responsable.
Así nos lo indica art.28.4 del RGPD “Cuando un encargado del tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del responsable, se impondrán a este otro encargado, mediante contrato u otro acto jurídico establecido con arreglo al Derecho de la Unión o de los Estados miembros, las mismas obligaciones de protección de datos que las estipuladas en el contrato u otro acto jurídico entre el responsable y el encargado a que se refiere el apartado 3, en particular la prestación de garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conforme con las disposiciones del presente Reglamento. Si ese otro encargado incumple sus obligaciones de protección de datos, el encargado inicial seguirá siendo plenamente responsable ante el responsable del tratamiento por lo que respecta al cumplimiento de las obligaciones del otro encargado”.