Cuando existe un vínculo entre Responsable y Encargado, se debe proteger con la celebración de un contrato para el tratamiento de datos personales (recolección, almacenamiento, uso y circulación), en éste se debe indicar aspectos mínimos de la relación jurídica entre ambas entidades, así:

• La entidad que tiene el control y responsabilidad de la base de datos.
• Los alcances del tratamiento.
• Las actividades que el encargado realizará por cuenta del responsable para el tratamiento de los datos personales y las obligaciones del Encargado para con el Titular y el Responsable.
• El Encargado se comprometerá a dar aplicación a las obligaciones del Responsable bajo la política de tratamiento de la información fijada por este y a realizar el tratamiento de datos de acuerdo con la finalidad que los Titulares hayan autorizado y con las leyes aplicables.
• El encargado deberá hacer el tratamiento, a nombre del Responsable, a los datos personales conforme a los principios que los tutelan.
• El encargado debe en todo caso salvaguardar la seguridad de las bases de datos en los que se contengan datos personales.
• El encargado deberá garantizar que su gestión se funda en guardar confidencialidad respecto del tratamiento de los datos personales.
• En el Municipio de Medellín se cumple esta obligación de conformidad con la directriz impartida conforme a la Ley 1581 de 2012. Consúltala en ASTREA, Biblioteca Jurídica Virtual.