El Reglamento define al Encargado del tratamiento como la persona física o jurídica, autoridad pública, servicio u organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del Responsable del tratamiento.
Igual que el Responsable, el Encargado del tratamiento también tiene el deber de proteger los datos personales en cualquier fase del tratamiento, desde el diseño del tratamiento y por defecto durante todo el ciclo de vida del mismo: recogida, tratamiento, conservación y supresión. También deberá garantizar un nivel de seguridad adecuado en relación con los riesgos que entrañe el tratamiento.
El Encargado del tratamiento deberá ofrecer garantías suficientes para implementar en su organización políticas técnico-organizativas apropiadas para proteger los datos personales, el ejercicio de los derechos del interesado y la aplicación de las instrucciones que determine el Responsable del tratamiento.
Las garantías suficientes que deberá fundamentar el Encargado del tratamiento podrán demostrarse mediante los mecanismos de certificación previstos en el Reglamento, o en caso de grupos de empresas, la adhesión y cumplimiento de códigos de conducta aprobados por la Autoridad de control o la Comisión europea según su ámbito territorial.
El Encargado del tratamiento será considerado Responsable del tratamiento y estará sujeto a las normas aplicables como tal, cuando sea parte determinante de los fines y los medios del tratamiento o realice el tratamiento sin seguir las instrucciones recibidas por el Responsable del tratamiento.
La relación entre el Responsable y el Encargado del tratamiento se regirá por un contrato donde se especificarán sus respectivas funciones y se disponga que: