La empresa que contrate o encargue a otra el tratamiento de datos deberá asegurarse de que ésta tiene las medidas técnicas y organizativas adecuadas para garantizar los niveles de seguridad y la protección de los derechos exigidos por el Reglamento General de Protección de Datos (RGPD).
Unas garantías que podrán demostrarse a través de certificados de protección de datos o la adhesión a códigos de conducta.
Así lo determinan las Directrices del Grupo de Trabajo del Artículo 29, que ofrecen las pautas sobre el contenido y la forma que debe tener el contrato entre el responsable del tratamiento -la empresa u organización contratante- y el encargado del mismo -la empresa contratada-.