¿Qué exige este criterio?
Los contratos de encargo deben incluir (art. 28.3): objeto y duración, naturaleza y finalidad del tratamiento, tipo de datos, categorías de interesados, obligaciones del encargado (solo tratar según instrucciones, confidencialidad, seguridad, subencargados, asistencia al responsable, devolución/supresión). Los encargados típicos del QERDS son: TSA (si es externa), proveedor de vídeo-id, CA emisora del sello, hosting/cloud, IDP (Cl@ve, FNMT).

¿Qué hay que revisar al cliente?

• Inventario de encargados del tratamiento del QERDS.
• Contratos de encargo firmados con cada encargado.
• Cobertura de todos los elementos del art. 28.3 en los contratos.
• Contratos de encargo con subencargados (si aplica).
• Revisión periódica de los contratos.

Preguntas clave para las entrevistas

• ¿Hay un inventario actualizado de los encargados del tratamiento del QERDS?
• ¿Todos los encargados tienen contrato de encargo art. 28 formalizado?
• ¿El proveedor de vídeo-id tiene contrato de encargo si trata datos de identificación?
• ¿La TSA externa (si aplica) tiene contrato de encargo?

¿Por qué es esencial para QERDS y TSA?
La falta de contrato de encargo con un proveedor que trata datos por cuenta del QERDS es una infracción muy grave del RGPD. Es uno de los hallazgos más frecuentes en las inspecciones de la AEPD. El inventario de encargados y los contratos correspondientes deben ser un proceso vivo, no solo un trámite inicial.

Evidencia que demostraría conformidad

• Inventario de encargados del tratamiento.
• Contratos de encargo art. 28 firmados (al menos los principales).
• Verificación de cobertura de elementos art. 28.3.