Encargado del Tratamiento

Un encargado del tratamiento es una organización o individuo que procesa datos personales en nombre de un responsable del tratamiento, siguiendo las instrucciones del responsable en lugar de tomar decisiones independientes sobre los datos. Ejemplos comunes incluyen proveedores de alojamiento en la nube, plataformas de marketing por correo electrónico, servicios de analítica y procesadores de pagos. Según el GDPR, la relación entre responsable y encargado debe estar regida por un Acuerdo de Procesamiento de Datos (DPA) formal que especifique el alcance, la naturaleza y el propósito del procesamiento.

Los encargados del tratamiento tienen sus propias obligaciones de cumplimiento según el GDPR, incluyendo implementar medidas de seguridad apropiadas, no contratar subencargados sin la autorización del responsable, asistir al responsable con solicitudes de derechos de los interesados y notificaciones de brechas, mantener registros de actividades de procesamiento, y eliminar o devolver los datos al final de la relación de servicio. Un encargado que actúe fuera de las instrucciones del responsable, por ejemplo, usando los datos para sus propios fines, puede ser reclasificado como responsable y asumir todas las obligaciones y responsabilidades del responsable.