¿Cuál es la diferencia entre responsable, encargado y Delegado de Protección de Datos? En este artículo respondemos a esta cuestión que todavía sigue generando dudas.
En este artículo hablamos de:
¿Cuáles son las diferencias entre responsable, encargado y Delegado de Protección de Datos?
Para poder ver las diferencias entre responsable, encargado y Delegado de Protección de Datos (DPO), primero debemos definir qué es cada una de estas figuras clave introducidas con la entrada en vigor del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD).
Puesto que ya os hemos hablado del responsable, encargado y DPO en sus respectivos artículos en este blog, aquí daremos una definición breve de cada uno de ellos, para poder establecer de forma más clara esas diferencias.
Así, el responsable del tratamiento de datos es la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que en el ejercicio y desarrollo de su actividad trata con datos de carácter personal. Es decir, el responsable del tratamiento puede ser una empresa, un autónomo, el Ayuntamiento de tu ciudad, una ONG o una plataforma de vídeo en streaming.
Por su parte, el encargado de tratamiento de datos es también una persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que para desarrollar su actividad o prestar sus servicios, debe acceder y tratar datos personales responsabilidad del responsable. Es decir, que como en el caso del responsable, puede ser cualquier tipo de entidad o profesional, pública o privada, que en el contexto del desarrollo de su actividad o el servicio prestado al responsable, tiene acceso y/o trata datos personales que este maneja.
De la diferencia entre responsable y encargado del tratamiento de datos ya os hemos hablado, pero volvemos a recordarla; el responsable es quien toma todas las decisiones relativas al tratamiento de datos (qué datos se recaban, la finalidad, el plazo de conservación, las medidas de seguridad, etc.), mientras que el responsable no tiene poder decisión sobre los datos personales que trata en nombre del responsable y debe hacerlo siguiendo las indicaciones de este.
Finalmente, el Delegado de Protección de Datos es un profesional con conocimientos especializados y experiencia en materia de protección de datos y en la aplicación de la normativa de protección de datos. Puede ser un empleado interno del responsable o encargado del tratamiento o puede contratarse como un servicio externo, en ese sentido, el DPO externo puede ser una persona jurídica, por ejemplo, una consultoría especializada en protección de datos.
A diferencia del responsable y el encargado del tratamiento, el Delegado de Protección de Datos debe nombrarse, es decir, es el responsable y/o el encargado del tratamiento quien debe nombrar al DPO; una obligación en determinados casos contemplados en artículo 37 del RGPD y el artículo 34 de la LOPDGDD, pero que también puede hacerse de manera voluntaria.
El Delegado de Protección de Datos no tiene poder decisión sobre los tratamientos de datos personales que realizan responsables y encargados, pero si debe asistirlos y ayudarles en la aplicación y cumplimiento de la normativa de protección de datos, por ello, entre sus funciones está la de asesorar, la de consultar a la AEPD en nombre del responsable o el encargado dudas respecto a tratamientos, asistir en la realización de evaluaciones de impacto en protección de datos, o formar a los empleados en protección de datos, entre otras.
Por lo tanto, la principal diferencia entre responsable, encargado y Delegado de Protección de Datos está en el papel y funciones que tienen respecto a los tratamientos de datos personales que se realizarán y que dependen de las decisiones del responsable del tratamiento.
En ese sentido, ante vulneraciones de la normativa de protección de datos, responsables y encargados serán considerados responsables de las mismas (siempre que se deban a incumplimientos de las obligaciones y funciones que establece para ellos la normativa) y podrán ser sancionados en consecuencia por la AEPD. Por su parte, el DPO no es responsable de dichos incumplimientos, porque no es él quien debe cumplir con las obligaciones establecidas en la normativa.
Ante esos incumplimientos que pueden dar lugar a vulneraciones e infracciones, el DPO deberá documentarlo y comunicarlo a los órganos administrativos y de dirección del responsable o encargado del tratamiento, que serán quienes deben tomar las acciones correctoras correspondientes.
Ejemplo de diferencia entre responsable, encargado y Delegado de Protección de Datos
Para ilustrar la diferencia entre responsable, encargado y Delegado de Protección de Datos os dejamos este ejemplo:
La Empresa Equipos Informáticos S.L. es la responsable del tratamiento, puesto que es quien recaba y trata los datos personales de clientes y empleados.
Para la gestión de las nóminas de sus empleados y otros aspectos fiscales y legales, la Empresa Equipos Informáticos S.L. contrata a la Gestoría Clara S.L. Como para la gestión de las nóminas será necesario que la gestoría acceda y trate los datos de los empleados, la Empresa Equipos Informáticos S.L. deberá formalizar con ella un contrato de encargo de tratamiento, donde establecerá las condiciones y directrices para el tratamiento de esos datos personales, así, Gestoría Clara S.L. se convierte en el encargado del tratamiento de Empresa Equipos Informáticos S.L.
Finalmente, dado el volumen de datos personales que Gestoría Clara S.L. trata de manera sistemática y habitual (tiene una amplia cartera de clientes), decide contratar los servicios de Delegado de Protección de Datos con Grupo Atico34, con quien a su vez formalizará su correspondiente contrato de encargo de tratamiento.
Tabla resumen
Finalmente, os dejamos esta tabla resumen de las diferencias entre responsable, encargado y Delegado de Protección de Datos:
| Figura | Responsable del tratamiento | Encargado del tratamiento | Delegado de protección de Datos |
|---|---|---|---|
| ¿Quién es? | La entidad privada o pública o profesional que realiza los tratamientos de datos. | La entidad o profesional que tiene acceso en el desarrollo de su actividad a los datos personales responsabilidad del responsable. | Profesional o consultoría especializado en protección de datos. |
| Funciones | Establece y gestiona los tratamientos de datos de la empresa u organización o profesional. Adopta las medidas de seguridad técnicas y organizativas necesarias. | Realiza los tratamientos encomendados por el responsable. | Asesora y asiste a responsables y encargados en materia de protección de datos personales. Es el intermediario y punto de contacto entre responsables, encargados y la AEPD. |
| Nombramiento | No se nombra. | No se nombra. | Lo nombra el responsable y/o encargado del tratamiento. |
| Relación | No aplica | Contractual con el responsable del tratamiento. | Puede ser laboral (si el DPO es un empleado de la entidad) o contractual (si el DPO es un profesional o consultoría externo). |
| ¿Puede ser sancionado por la AEPD ante vulneraciones de datos personales? | Sí. | Sí. | No. |