El encargado del tratamiento tratará los datos de acuerdo con las instrucciones del responsable del tratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el Reglamento General de Protección de Datos (RGPD) o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable.

El encargado del tratamiento adoptará todas las medidas de seguridad necesarias de conformidad con lo establecido en el artículo 32 del Reglamento General de Protección de Datos (RGPD). Así, teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y las libertades de las personas físicas, el responsable y el encargado del tratamiento establecerán las medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado al riesgo existente que, en su caso, incluyan, entre otros:
a) La seudoanimización y el cifrado de datos personales;
b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico;
d) Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo su autoridad y tenga acceso a datos personales sólo pueda tratarlos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros.

Corresponderá al responsable facilitar el derecho de información en el momento de la recogida de los datos.

Si el encargado del tratamiento debiese transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.

Si al encargado del tratamiento le resultase necesario subcontratar algún tratamiento, deberá comunicar este hecho previamente y por escrito al responsable, con una antelación de 30 días, indicando los tratamientos que se pretenden subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido. El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones.

El responsable deberá velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del encargado. El encargado deberá poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones.

El encargado del tratamiento deberá resolver, por cuenta del responsable, y dentro del plazo establecido, las solicitudes de ejercicio de los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, en relación con los datos objeto del encargo. Deberá dar apoyo al responsable del tratamiento en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda, y dar apoyo al responsable del tratamiento en la realización de las consultas previas a la autoridad de control.

El encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida, y en cualquier caso en un plazo inferior a 72 horas, y a través del medio que garantice una mayor celeridad de respuesta frente al incidente, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. La comunicación debe realizarse en un lenguaje claro y sencillo y, como mínimo, deberá: a) Explicar la naturaleza de la violación de datos. b) Indicar el nombre y los datos de contacto de la persona de la que pueda obtenerse más información. c) Describir las posibles consecuencias de la violación de la seguridad de los datos personales. d) Describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

El encargado del tratamiento se comprometerá a destruir o devolver los datos al responsable del tratamiento, así como cualquier otro soporte donde éstos consten, una vez finalizada la prestación de los servicios que motivaron la necesidad de acceso por parte del encargado del tratamiento. No obstante, el encargado podrá conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.