Recordemos que un encargado de tratamiento es aquella persona física u organización que, para prestar un servicio precisa acceder y tratar datos personales por cuenta de otro, que es el responsable de los datos.
En este sentido podemos decir que, en algunas ocasiones, nuestra organización actúa como encargada de tratamiento y en otras son otras empresas las que al prestarnos servicios asumen este papel.
Sea un caso u el otro, debemos tener en cuenta que el encargado de tratamiento, cuando se produce una brecha de datos personales en el marco de un servicio debe:
- Informar a su cliente sin demora del incidente si entiende que es probable que haya afectado a datos personales, o la brecha de datos personales si ha confirmado este hecho.
- Asistir al cliente en la gestión de la brecha de datos personales y en las labores de notificación o comunicación de la brecha a la Agencia Española de Protección de Datos e interesados si así lo considera el cliente, responsable de los datos.
Debe tenerse en cuenta que la relación entre el Responsable (cliente) y el encargado (proveedor de servicios) está regulada en un documento, generalmente anexo al contrato de servicios, denominado contrato de acceso a datos. En él se especifican, entre otros detalles, el plazo para notificar al cliente los incidentes de seguridad y las obligaciones antes mencionadas.