Articulo 29 Tratamiento de datos personales por instituciones, órganos y organismos de la Unión
Artículo 29. Encargado del tratamiento
1. Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.
2. El encargado del tratamiento no recurrirá a otro encargado sin la autorización previa por escrito, específica o general, del responsable del tratamiento. En el caso de autorización escrita general, el encargado informará al responsable de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al responsable la oportunidad de oponerse a dichos cambios.
3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:
a) trate los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud de normas de la Unión o de los Estados miembros aplicables al encargado; en tal caso, el encargado informará al responsable de esa exigencia legal antes del tratamiento, salvo que esas normas lo prohíban por razones importantes de interés público;
b) garantice que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación legal de confidencialidad;
c) tome todas las medidas necesarias de conformidad con el artículo 33;
d) respete las condiciones indicadas en los apartados 2 y 4 para recurrir a otro encargado del tratamiento;
e) asista al responsable, teniendo en cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el capítulo III;
f) ayude al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 33 a 41, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado;
g) a elección del responsable, suprima o devuelva todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de un Estados miembro;
h) ponga a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.
En relación con lo dispuesto en la letra h) del párrafo primero, el encargado informará inmediatamente al responsable si, en su opinión, una instrucción infringe el presente Reglamento u otras disposiciones en materia de protección de datos de la Unión o de los Estados miembros.
4. Cuando un encargado del tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del responsable, se impondrán a este otro encargado, mediante contrato u otro acto jurídico establecido con arreglo al Derecho de la Unión o de los Estados miembros, las mismas obligaciones de protección de datos que las estipuladas en el contrato u otro acto jurídico entre el responsable y el encargado a que se refiere el apartado 3, en particular la prestación de garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conforme con las disposiciones del presente Reglamento. Si ese otro encargado incumple sus obligaciones de protección de datos, el encargado inicial seguirá siendo plenamente responsable ante el responsable del tratamiento por lo que respecta al cumplimiento de las obligaciones del otro encargado.
5. Cuando el encargado del tratamiento no sea una institución u organismo de la Unión, su adhesión a un código de conducta aprobado a que se refiere el artículo 40, apartado 5, del Reglamento (UE) 2016/679 o a un mecanismo de certificación aprobado a que se refiere el artículo 42 de dicho Reglamento podrá utilizarse como elemento para demostrar la existencia de garantías suficientes como disponen los apartados 1 y 4 del presente artículo.
6. Sin perjuicio de que el responsable del tratamiento y el encargado del tratamiento celebren un contrato individual, el contrato u otro acto jurídico a que se refieren los apartados 3 y 4 del presente artículo podrá basarse, total o parcialmente, en las cláusulas contractuales tipo a que se refieren los apartados 7 y 8 del presente artículo, inclusive cuando formen parte de una certificación concedida al encargado que no sea una institución u organismo de la Unión de conformidad con el artículo 42 del Reglamento (UE) 2016/679.
7. La Comisión podrá fijar cláusulas contractuales tipo para las cuestiones a que se refieren los apartados 3 y 4 del presente artículo, de acuerdo con el procedimiento de examen a que se refiere el artículo 96, apartado 2.
8. El Supervisor Europeo de Protección de Datos podrá adoptar cláusulas contractuales tipo para las cuestiones a que se refieren los apartados 3 y 4.
9. El contrato u otro acto jurídico a que se refieren los apartados 3 y 4 constará por escrito, valiendo también el formato electrónico.
10. Sin perjuicio de lo dispuesto en los artículos 65 y 66, si un encargado del tratamiento infringe el presente Reglamento por determinar los fines y medios del tratamiento, será considerado responsable del tratamiento con respecto a dicho tratamiento.