Obligaciones del encargado del tratamiento

• tratar los datos personales únicamente de conformidad con las instrucciones documentadas del responsable del tratamiento, incluso en relación con la transferencia de datos personales a un tercer país o a una organización internacional, a menos que así lo exija el Derecho de la Unión o de los Estados miembros al que esté sujeto el encargado del tratamiento, en cuyo caso el encargado notificará al responsable del tratamiento dicho requisito legal antes del tratamiento, salvo cuando dicha notificación esté prohibida por dicho Derecho por razones imperiosas de interés público;
• garantizar que las personas autorizadas a tratar los datos personales estén sujetas a una obligación de confidencialidad o a una obligación legal de confidencialidad adecuada aplicar las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad proporcional a los riesgos, teniendo en cuenta el estado de la técnica, el coste de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas;
• informar por escrito al responsable del tratamiento de cualquier cambio previsto en el uso o la sustitución de otros encargados del tratamiento, dándole así la oportunidad de oponerse a dichos cambios;
• no recurrir a otro encargado del tratamiento sin la autorización previa, específica o general, por escrito, del responsable del tratamiento. Cuando un encargado del tratamiento contrate a otro para llevar a cabo actividades específicas de tratamiento por cuenta del responsable del tratamiento, el contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros impondrá a ese otro encargado las mismas obligaciones de protección de datos que las establecidas en el contrato u otro acto jurídico entre el responsable y el encargado del tratamiento, en particular la obligación de garantizar suficientemente la aplicación de medidas técnicas y organizativas adecuadas y suficientes. Si ese otro encargado incumple las obligaciones de protección de datos, el encargado original seguirá siendo plenamente responsable ante el responsable del tratamiento del cumplimiento de las obligaciones de ese otro encargado;
• asistir al responsable del tratamiento, teniendo en cuenta la naturaleza del tratamiento, mediante medidas técnicas y organizativas adecuadas, en la medida de lo posible, para cumplir la obligación del responsable del tratamiento de responder a las solicitudes de ejercicio de los derechos del interesado;
  ayudar al responsable del tratamiento a garantizar el cumplimiento de las obligaciones de seguridad del tratamiento, de notificación de una violación de datos personales a la autoridad de control y de notificación de una violación de datos personales al interesado, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el encargado del tratamiento;
• a elección del responsable del tratamiento, borrar o devolver al responsable del tratamiento todos los datos personales y borrar las copias existentes de los datos personales una vez finalizada la prestación de los servicios relacionados con el tratamiento, a menos que el Derecho de la Unión o de los Estados miembros exija la conservación de los datos personales;
• facilitar al responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones impuestas al encargado del tratamiento y para permitir y ayudar al responsable del tratamiento o a cualquier otro auditor autorizado por el responsable del tratamiento a realizar auditorías, incluidas inspecciones.