Article 31. Encarregat del tractament de dades personals
HomeArticle 31. Encarregat del tractament de dades personals
- L’encarregat del tractament i qualsevol persona que actua sota l’autoritat del responsable o de l’encarregat i té accés a dades personals, només pot tractar aquestes dades seguint instruccions del responsable, tret que hi estigui obligat per una exigència legal.
- El responsable del tractament té el deure d’escollir un encarregat que ofereixi garanties suficients per aplicar les mesures tècniques i organitzatives adequades, de manera que el tractament sigui conforme als requisits d’aquesta Llei i garanteixi la protecció dels drets de
la persona interessada. - L’encarregat del tractament no pot recórrer a un altre encarregat sense l’autorització prèvia, per escrit, específica o general, del responsable. L’encarregat ha d’informar el responsable de qualsevol canvi previst en la incorporació o la substitució d’altres encarregats i, d’aquesta manera, donar al responsable l’oportunitat d’oposar-se a aquests
canvis. - El tractament efectuat per l’encarregat del tractament de dades personals es regeix per un contracte escrit que vincula l’encarregat al responsable, i estableix, en el termes definits reglamentàriament, l’objecte, la durada, la naturalesa i la finalitat del tractament, així com el tipus de dades personals, categories de persones interessades i les obligacions i els drets
del responsable. El contracte ha d’estipular, en particular, que l’encarregat ha de:
a) Tractar les dades personals únicament seguint instruccions documentades del responsable, fins i tot en relació amb les transferències de dades personals a un tercer país o a una organització internacional, tret que hi estigui obligat en virtut de la normativa que li
sigui d’aplicació. En aquest cas, l’encarregat ha d’informar el responsable d’aquesta exigència legal prèviament al tractament, tret que aquesta normativa ho prohibeixi per raons
importants d’interès públic.
b) Garantir que les persones autoritzades per tractar dades personals s’han compromès a respectar-ne la confidencialitat o estan subjectes a una obligació de confidencialitat de naturalesa estatutària.
c) Prendre totes les mesures necessàries en matèria de seguretat del tractament.
d) Respectar les condicions establertes als apartats 3 i 5, per recórrer a un altre encarregat del tractament.
e) Assistir el responsable sempre que sigui possible, d’acord amb la naturalesa del tractament i mitjançant les mesures tècniques i organitzatives adequades, sempre que sigui possible, perquè pugui complir amb l’obligació de respondre les sol·licituds que tinguin per
objecte l’exercici dels drets de les persones interessades establerts en el capítol tercer.
f) Ajudar el responsable a garantir el compliment de les obligacions que estableixen els articles 32, 33 i 35 a 37, tenint en compte la naturalesa del tractament i la informació a disposició de l’encarregat.
g) A elecció del responsable, suprimir o retornar totes les dades personals, una vegada finalitzada la prestació dels serveis de tractament, i suprimir les còpies existents, tret que sigui necessari conservar les dades personals en virtut d’una obligació legal.
h) Posar a disposició del responsable tota la informació necessària per demostrar que compleix les obligacions que estableix aquest article. Així mateix, ha de permetre i contribuir a la realització d’auditories, incloses inspeccions, per part del responsable o d’un altre auditor autoritzat per aquest responsable.
Si l’encarregat considera que una instrucció infringeix aquesta Llei i les seves normes de desenvolupament, n’ha d’informar immediatament el responsable. - Quan un encarregat del tractament recorre a un altre encarregat per dur a terme determinades activitats de tractament per compte del responsable, s’han d’imposar a aquest altre encarregat, mitjançant un contracte escrit, les mateixes obligacions de protecció de
dades que les estipulades en el contracte entre el responsable i l’encarregat, especialment la prestació de garanties suficients d’aplicació de mesures tècniques i organitzatives adequades de manera que el tractament sigui conforme amb les disposicions d’aquesta Llei. Si aquest altre encarregat incompleix les obligacions de protecció de dades,
l’encarregat inicial continua sent plenament responsable del compliment de les obligacions de l’altre encarregat davant del responsable. - L’adhesió de l’encarregat del tractament a codis de conducta o un mecanisme de certificació aprovat de conformitat amb la normativa de protecció de dades personals de la Unió Europea que tingui validesa general dins de la Unió, es pot utilitzar com a element per demostrar que hi ha les garanties suficients a què es refereixen els apartats 2 i 5.
- Sense perjudici que el responsable i l’encarregat del tractament subscriguin un contracte individual, el contracte referit als apartats 4 i 5 es pot basar, totalment o parcialment, en les clàusules contractuals tipus a què es refereix l’apartat 8 o a les clàusules contractuals tipus
aprovades per la Comissió Europea, fins i tot si formen part d’una certificació concedida al responsable o a l’encarregat de conformitat amb la normativa de protecció de dades personals de la Unió Europea. - L’Agència Andorrana de Protecció de Dades pot adoptar clàusules contractuals tipus per a les qüestions a què es refereixen els apartats 4 i 5.
- El contracte a què es refereixen els apartats 4 i 5 ha de constar per escrit, inclòs en format electrònic.
- Sense perjudici del règim sancionador previst en aquesta Llei, si un encarregat del tractament infringeix aquesta Llei en determinar els fins i els mitjans del tractament, se l’ha de considerar responsable del tractament pel que fa a dit tractament.
- En l’àmbit del sector públic, poden atribuir-se les competències pròpies d’un encarregat del tractament a un determinat òrgan de l’Administració pública de la què es tracti o als seus organismes vinculats o dependents mitjançant l’adopció d’una norma reguladora de les referides competències, que ha d’incorporar el contingut previst a l’apartat 4.
