Los responsables y encargados de tratamiento de datos son dos de las figuras más importantes dentro del RGPD. Sin embargo, todavía hay mucha gente que no sabe en qué consiste cada una de ellas, y que cree que son sinónimos. Sin embargo, sus obligaciones y responsabilidades son totalmente distintas. Para disipar todas las dudas, en este artículo te hablamos sobre las diferencias entre responsable y encargado del tratamiento de datos.
En este artículo hablamos de:
En qué se diferencian el responsable del tratamiento de datos y el encargado del tratamiento de datos personales
El responsable del tratamiento es quien controla y se responsabiliza de los datos. Por su parte, el encargado del tratamiento es el encargado de almacenar los datos personales, pero no decide sobre ellos.
El RGPD define al responsable del tratamiento de datos como la persona física o jurídica, servicio, organismo o entidad similar que determina los fines y medios del tratamiento. Es decir, es quien debe informar sobre la finalidad del tratamiento y los medios elegidos para ello. Asimismo, debe informar si los datos van a ser tratados por terceros.
Por su parte, el encargado del tratamiento de datos es la persona física o jurídica, servicio, organismo o entidad similar que realiza el tratamiento de datos por cuenta del responsable.
El encargado realiza el tratamiento siguiendo las directrices y empleando los medios designados por el responsable. Asimismo, debe asistir al responsable a petición de éste, para asegurar que se cumplen todas las obligaciones en materia de protección de datos.
El responsable debe elegir un encargado del tratamiento que ofrezca las garantías suficientes para implantar las medidas técnicas y organizativas necesarias para que el tratamiento se adapte a las exigencias del RGPD.
El encargado no podrá subcontratar los servicios de un subencargado del tratamiento, salvo autorización expresa del responsable.
Una entidad es responsable del tratamiento cuando se responsabiliza de los datos que maneja. En cambio, una entidad ejerce de encargado del tratamiento cuando almacena y maneja datos, pero otra decide sobre ellos.
En definitiva, el responsable puede asignar la gestión de los datos al encargado, y este deberá realizarla de acuerdo a los requisitos y obligaciones establecidos por el responsable.
Pero veamos la diferencia entre responsable y encargado del tratamiento de datos con un ejemplo. Imaginemos una tienda de ropa online que trata datos personales de sus clientes, empleados o proveedores. En este caso, la tienda online actuará como responsable del tratamiento. Sin embargo, el negocio también podría contratar los servicios de una asesoría para que le llevara temas contables o fiscales, como contratos o nóminas. En este caso, la asesoría ejercería como encargado del tratamiento.
¿Cómo se regula la relación entre el responsable y el encargado?
La relación entre responsable y encargado del tratamiento de datos se regula a través de un contrato o acto jurídico con arreglo al derecho de la Unión Europea o de sus Estados miembros.
Este contrato ha de realizarse por escrito. En él se describen el objeto, duración, naturaleza y finalidad del tratamiento, así como los tipos de datos o categorías de datos que se van a tratar, y las obligaciones y derechos de responsable y encargado.
Un contrato regula la relación entre el responsable y el encargado de Tratamiento
Como hemos dicho, el contrato entre responsable y encargado de tratamiento de datos vincula legalmente a ambas figuras y establece los cauces por los que se regirá su relación. Este contrato obliga al encargado del tratamiento de datos a:
- Tratar los datos personales de acuerdo a las instrucciones del responsable, incluyendo las transferencias internacionales de datos a un tercer país o a una organización internacional.
- Garantizar que las personas autorizadas para realizar el tratamiento de datos personales se hayan comprometido a respetar el deber de confidencialidad o estén obligados a ella por razones de naturaleza estatutaria.
- Aplicar las medidas técnicas y organizativas necesarias señaladas en el artículo 32 del RGPD, con el fin de garantizar la seguridad e integridad de los datos.
- Solicitar la autorización expresa del responsable del tratamiento para designar a un subencargado del tratamiento.
- Asistir al responsable del tratamiento, siempre que sea posible, mediante la aplicación de las medidas técnicas y organizativas necesarias, para garantizar el cumplimiento de la obligación de responder a las solicitudes de los interesados para el ejercicio de sus derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.
- Ayudar al responsable al cumplimiento de las obligaciones de seguridad, notificación de brechas de seguridad o elaboración de evaluaciones de impacto.
- Suprimir o devolver los datos personales (a elección del responsable), una vez que haya finalizado la prestación del servicio.
- Poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones anteriormente citadas, así como facilitar la elaboración de auditorías o inspecciones por parte del responsable o cualquier otra entidad autorizada.
En definitiva, la diferencia entre responsable y encargado de tratamiento de datos es más profunda de lo que muchos puedan pensar. En realidad son dos figuras totalmente distintas pero que pueden estar relacionadas. Ambas pueden ser los responsables de la gestión de los datos personales, con la diferencia de que el encargado siempre lo hará por cuenta del responsable.