¿Qué obligaciones específicas contiene el RGPD para los encargados de tratamiento?

En determinadas materias los encargados tienen obligaciones propias que establece el RGPD, que no se circunscriben al ámbito del contrato que los une al responsable, y que pueden ser supervisadas separadamente por las autoridades de protección de datos.

Por ejemplo:

• Deben mantener un registro de actividades de tratamiento.
• Deben determinar las medidas de seguridad aplicables a los tratamientos que realizan.
• Deben designar a un Delegado de Protección de Datos en los casos previstos por el RGPD.

Los encargados pueden adherirse a códigos de conducta o certificarse en el marco de los esquemas de certificación previstos por el RGPD.

Los responsables habrán de elegir únicamente encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del Reglamento. Esta previsión se extiende también a los encargados cuando subcontraten operaciones de tratamiento con otros subencargados.