Art. 22
Encargado del tratamiento
En vigor desde 27 abr 2016
Artículo 22
Encargado del tratamiento
1. Los Estados miembros dispondrán que, cuando una operación de tratamiento vaya a ser llevada a cabo por cuenta de un responsable del tratamiento, este recurra únicamente a encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos de la presente Directiva y garantice la protección de los derechos del interesado.
2. Los Estados miembros dispondrán que el encargado del tratamiento no recurra a otro encargado sin la autorización previa por escrito, específica o general, del responsable del tratamiento. En el caso de la autorización por escrito general, el encargado informará siempre al responsable de cualquier cambio previsto referido a la adición o sustitución de otros encargados, dando así al responsable la oportunidad de oponerse a dichos cambios.
3. Los Estados miembros dispondrán que el tratamiento por un encargado se rija por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de un Estado miembro que vincule al encargado con el responsable, que fije el objeto y la duración del tratamiento, su naturaleza y finalidad, el tipo de datos personales y categorías de interesados y las obligaciones y derechos del responsable. Dicho contrato u otro acto jurídico estipulará, en particular, que el encargado del tratamiento:
a)
actúe únicamente siguiendo las instrucciones del responsable del tratamiento;
b)
garantice que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación profesional de confidencialidad;
c)
asista al responsable del tratamiento por cualquier medio adecuado para garantizar el cumplimiento de las disposiciones sobre los derechos del interesado;
d)
a elección del responsable del tratamiento, suprima o devuelva todos los datos personales al responsable del tratamiento una vez finalice la prestación de los servicios de tratamiento, y suprima las copias existentes a menos que el Derecho de la Unión o del Estado miembro requieran la conservación de los datos personales;
e)
ponga a disposición del responsable del tratamiento toda la información necesaria para demostrar el cumplimiento del presente artículo;
f)
respete las condiciones indicadas en los apartados 2 y 3 para contratar a otro encargado del tratamiento.
4. El contrato u otro acto jurídico a que se refiere el apartado 3 se establecerá por escrito, inclusive en formato electrónico.
5. Si un encargado del tratamiento, infringiendo la presente Directiva, determinase los fines y medios de dicho tratamiento, será considerado responsable con respecto a ese tratamiento.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:dir:2016:680:oj#art-22