Artículo 28

Encargado del tratamiento

  • Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegir√° √ļnicamente un encargado que ofrezca garant√≠as suficientes para aplicar medidas t√©cnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protecci√≥n de los derechos del interesado.
  • El encargado del tratamiento no recurrir√° a otro encargado sin la autorizaci√≥n previa por escrito, espec√≠fica o general, del responsable. En este √ļltimo caso, el encargado informar√° al responsable de cualquier cambio previsto en la incorporaci√≥n o sustituci√≥n de otros encargados, dando as√≠ al responsable la oportunidad de oponerse a dichos cambios.
  • El tratamiento por el encargado se regir√° por un contrato u otro acto jur√≠dico con arreglo al Derecho de la Uni√≥n o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duraci√≥n, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categor√≠as de interesados, y las obligaciones y derechos del responsable. Dicho contrato o acto jur√≠dico estipular√°, en particular, que el encargado:
    • a) tratar√° los datos personales √ļnicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer pa√≠s o una organizaci√≥n internacional, salvo que est√© obligado a ello en virtud del Derecho de la Uni√≥n o de los Estados miembros que se aplique al encargado; en tal caso, el encargado informar√° al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo proh√≠ba por razones importantes de inter√©s p√ļblico;
    • b) garantizar√° que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o est√©n sujetas a una obligaci√≥n de confidencialidad de naturaleza estatutaria;
    • c) tomar√° todas las medidas necesarias de conformidad con el art√≠culo¬†32;
    • d) respetar√° las condiciones indicadas en los apartados¬†2 y¬†4 para recurrir a otro encargado del tratamiento;
    • e) asistir√° al responsable, teniendo cuenta la naturaleza del tratamiento, a trav√©s de medidas t√©cnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligaci√≥n de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el cap√≠tulo¬†III;
    • f) ayudar√° al responsable a garantizar el cumplimiento de las obligaciones establecidas en los art√≠culos¬†32 a¬†36, teniendo en cuenta la naturaleza del tratamiento y la informaci√≥n a disposici√≥n del encargado;
    • g) a elecci√≥n del responsable, suprimir√° o devolver√° todos los datos personales una vez finalice la prestaci√≥n de los servicios de tratamiento, y suprimir√° las copias existentes a menos que se requiera la conservaci√≥n de los datos personales en virtud del Derecho de la Uni√≥n o de los Estados miembros;
    • h) pondr√° a disposici√≥n del responsable toda la informaci√≥n necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente art√≠culo, as√≠ como para permitir y contribuir a la realizaci√≥n de auditor√≠as, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.
      En relación con lo dispuesto en la letra h) del párrafo primero, el encargado informará inmediatamente al responsable si, en su opinión, una instrucción infringe el presente Reglamento u otras disposiciones en materia de protección de datos de la Unión o de los Estados miembros.
  • Cuando un encargado del tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del responsable, se impondr√°n a este otro encargado, mediante contrato u otro acto jur√≠dico establecido con arreglo al Derecho de la Uni√≥n o de los Estados miembros, las mismas obligaciones de protecci√≥n de datos que las estipuladas en el contrato u otro acto jur√≠dico entre el responsable y el encargado a que se refiere el apartado¬†3, en particular la prestaci√≥n de garant√≠as suficientes de aplicaci√≥n de medidas t√©cnicas y organizativas apropiadas de manera que el tratamiento sea conforme con las disposiciones del presente Reglamento. Si ese otro encargado incumple sus obligaciones de protecci√≥n de datos, el encargado inicial seguir√° siendo plenamente responsable ante el responsable del tratamiento por lo que respecta al cumplimiento de las obligaciones del otro encargado.
  • La adhesi√≥n del encargado del tratamiento a un c√≥digo de conducta aprobado a tenor del art√≠culo¬†40 o a un mecanismo de certificaci√≥n aprobado a tenor del art√≠culo¬†42 podr√° utilizarse como elemento para demostrar la existencia de las garant√≠as suficientes a que se refieren los apartados¬†1 y¬†4 del presente art√≠culo.
  • Sin perjuicio de que el responsable y el encargado del tratamiento celebren un contrato individual, el contrato u otro acto jur√≠dico a que se refieren los apartados¬†3 y¬†4 del presente art√≠culo podr√° basarse, total o parcialmente, en las cl√°usulas contractuales tipo a que se refieren los apartados¬†7 y¬†8 del presente art√≠culo, inclusive cuando formen parte de una certificaci√≥n concedida al responsable o encargado de conformidad con los art√≠culos¬†42 y¬†43.
  • La Comisi√≥n podr√° fijar cl√°usulas contractuales tipo para los asuntos a que se refieren los apartados¬†3 y¬†4 del presente art√≠culo, de acuerdo con el procedimiento de examen a que se refiere el art√≠culo¬†93, apartado¬†2.
  • Una autoridad de control podr√° adoptar cl√°usulas contractuales tipo para los asuntos a que se refieren los apartados¬†3 y¬†4 del presente art√≠culo, de acuerdo con el mecanismo de coherencia a que se refiere el art√≠culo¬†63.
  • El contrato u otro acto jur√≠dico a que se refieren los apartados¬†3 y¬†4 constar√° por escrito, inclusive en formato electr√≥nico.
  • Sin perjuicio de lo dispuesto en los art√≠culos¬†82, 83 y¬†84, si un encargado del tratamiento infringe el presente Reglamento al determinar los fines y medios del tratamiento, ser√° considerado responsable del tratamiento con respecto a dicho tratamiento.