En caso de que el responsable del tratamiento necesite externalizar algunos de sus servicios o funciones y ello conlleve el tratamiento de datos personales será imprescindible que se formalice un contrato de acceso a datos por cuenta de terceros, también conocido, como contrato de encargado de tratamiento.
En el artículo 28.3 del RGPD se regulan todas las cláusulas que este contrato de acceso a datos ha de contener. Entre otros aspectos, se tiene que establecer:
- El objeto, la duración, la naturaleza y la finalidad del tratamiento.
- El tipo de datos personales y categorías de interesados.
- Las obligaciones del encargado de tratamiento.
- Las obligaciones del responsable del tratamiento.
Además, en particular, se indicará que el encargado del tratamiento ha de seguir únicamente las instrucciones indicadas por el responsable, incluso respecto a las transferencias de datos personales a un tercer país o una organización internacional.
En posteriores boletines desarrollaremos las obligaciones de cada uno de los roles del contrato.
IMPORTANTE
Se considera una infracción grave encargar el tratamiento de datos de un tercero sin la previa formalización de un contrato de acceso a datos.