1.-Deber del encargado de tratar los datos facilitados conforme a las indicaciones expresas del responsable.

Estamos ante un sometimiento estricto que únicamente podrá soslayarse si tal circunstancia está prevista en el Derecho de la Unión o de los estados miembros. Es esencial remarcar esta sumisión del encargado del tratamiento al responsable, puesto que si la misma no existiera, el encargado asumiría la posición del responsable.

2.-Determinación de la finalidad del tratamiento y compromiso por parte del encargado de usar los datos única y exclusivamente para las finalidades establecidas.

En el contrato que regula la relación entre ambas partes debe constar el objeto, duración, naturaleza y finalidad del tratamiento, así como también tipo de datos personales, categorías de los interesados y obligaciones y derechos del responsable.

3.-El encargado debe actuar con observancia del deber de secreto y confidencialidad e implementar las medidas de seguridad pertinentes.

Especial mención merecen los servicios prestados en la “nube” o “cloud computing”, en la que muchas veces se da una pluralidad de encargados de tratamiento.

En estos casos y para evitar la difuminación de la responsabilidad entre los diferentes encargados, el RGPD establece la técnica de los contratos en cascada que permite la imposición de las mismas obligaciones de protección de datos a los sucesivos encargados que intervienen en el tratamiento, que las estipuladas en el contrato celebrado entre el responsable y el primer encargado, sobre todo en lo relativo a garantizar la aplicación de las medidas de seguridad oportunas.

Esta técnica permite que en caso de incumplimiento subsista la responsabilidad del encargado inicial.

Una de las cuestiones primordiales del nuevo reglamento de protección de datos (RGPD) es identificar a los sujetos más importantes y conocer los derechos y las obligaciones que contraen unos y otros. Entre ellos se encuentran el responsable del tratamiento y el encargado del tratamiento.

El responsable del tratamiento es la figura que se encarga de determinar los fines y los medios que delimitan el tratamiento de los datos personales. Puede ser una persona física o jurídica, una autoridad pública, un servicio u otro organismo.

El encargado del tratamiento, por su parte, es quien trata los datos por encargo del responsable del tratamiento. Al igual que el actor anterior, puede ser una persona física o jurídica, una autoridad pública, un servicio u otro organismo.