En determinadas materias los encargados tienen obligaciones propias que establece el RGPD, que no se circunscriben al ámbito del contrato que los une al responsable, y que pueden ser supervisadas separadamente por las autoridades de protección de datos.

Por ejemplo:

• Deben mantener un registro de actividades de tratamiento.
• Deben determinar las medidas de seguridad aplicables a los tratamientos que realizan.
• Deben designar a un Delegado de Protección de Datos en los casos previstos por el RGPD.

Los encargados pueden adherirse a códigos de conducta o certificarse en el marco de los esquemas de certificación previstos por el RGPD.

Los responsables habrán de elegir únicamente encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del Reglamento. Esta previsión se extiende también a los encargados cuando subcontraten operaciones de tratamiento con otros subencargados.

Para demostrar que los encargados o subencargados ofrecen las garantías exigidas por el RGPD, éstos podrán adherirse a códigos de conducta o certificarse dentro de los esquemas previstos por el RGPD. Si bien antes el Reglamento de Desarrollo de la LOPD 15/1999 (RLOPD) establecía la necesidad de diligencia debida en la selección de encargados, según el RGPD el responsable deberá adoptar medidas apropiadas, incluida la elección de encargados, de forma que garantice y esté en condiciones de demostrar que el tratamiento se realiza conforme el RGPD (principio de responsabilidad activa).

Las relaciones entre el responsable y el encargado deben formalizarse en un contrato o en un acto jurídico que vincule al encargado respecto al responsable.

Se regula de forma minuciosa el contenido mínimo de los contratos de encargo, debiendo preverse aspectos como:

• Objeto, duración, naturaleza y la finalidad del tratamientos
• Tipo de datos personales y categorías de interesados
• Obligación del encargado de tratar los datos personales únicamente siguiendo instrucciones documentadas del responsable
• Condiciones para que el responsable pueda dar su autorización previa, específica o general, a las subcontrataciones
• Asistencia al responsable, siempre que sea posible, en la atención al ejercicio de derechos de los interesados.

Los contratos con encargados de tratamiento concluidos con anterioridad a la aplicación del RGPD en mayo de 2018 deben modificarse y adaptarse para respetar este contenido, sin que sean válidas las remisiones genéricas al artículo del RGPD que los regula.

Indicar al respecto que la Disposición transitoria quinta de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, dice que:

Los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022.

Durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el artículo 28 del Reglamento (UE) 2016/679 y en el Capítulo II del Título V de esta ley orgánica.