Conoce Atico34 - Solicita presupuesto
GlosarioLOPDGDD & RGPD

Responsable del tratamiento de datos ¿Qué es y qué obligaciones tiene?

El responsable del tratamiento es una de las figuras clave para el cumplimiento de la normativa de protección de datos. En este artículo vemos qué es un responsable de tratamiento de datos y cuáles son sus funciones y obligaciones.

¿Qué es el responsable de tratamiento de datos?

El responsable del tratamiento de datos es aquella persona física o jurídica o autoridad pública encargada de decidir sobre el tratamiento de datos personales de los individuos. Se encarga de determinar los fines y medios para el tratamiento, así como de establecer las medidas técnicas y organizativas que garanticen la seguridad de los datos. Además, debe ser capaz de demostrar el cumplimiento del RGPD y la LOPDGDD ante las autoridades de control. El responsable del tratamiento es quien decide si quiere contar con la ayuda de un encargado del tratamiento, o si decide realizar el tratamiento de datos por sí mismo.

El responsable del tratamiento de datos personales es aquella persona física, jurídica o autoridad pública que se encarga de decidir sobre el tratamiento de datos personales de los interesados, determinando tanto los fines (¿para qué se usan?) como los medios (¿cómo se usan?) que definirán dicho tratamiento.

Es decir, el responsable del tratamiento es la persona o entidad que trata datos personales y, por tanto, y como su nombre indica, tiene la responsabilidad de garantizar la confidencialidad, integridad y disponibilidad de los datos personales que le han sido comunicados o cedidos.

Así mismo, es importante no confundir y tener presentes las diferencias entre responsable y encargado del tratamiento de datos, ya que el segundo depende de las condiciones que establezca el primero en un contrato de encargo del tratamiento.

La figura del responsable del tratamiento de datos en el RGPD

¿Dónde se define la figura del responsable del tratamiento en el RGPD?

El artículo 4, en su apartado 7, define al responsable de tratamiento de la siguiente manera:

Es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros.

Por su parte, el artículo 24 del RGPD señala de forma general los objetivos del responsable del tratamiento de datos personales, haciendo hincapié en su obligación de aplicar las medidas técnicas y organizativas necesarias para garantizar el cumplimiento de la ley conforme a los dispuesto en el Reglamento General de Protección de Datos.

obligaciones responsable tratamiento

Por tanto:

Se define al responsable de protección de datos como la persona física o jurídica, entidad o autoridad pública con potestad para decidir sobre el tratamiento de los datos personales de los interesados, determinando los fines (¿para qué?) y medios (cómo?) de dicho tratamiento.

Obligaciones del responsable del tratamiento de datos

Entre las principales obligaciones de los responsables del tratamiento se pueden citar:

  • Llevar un registro de las actividades de tratamiento. Este registro no será necesario si la empresa emplea a menos de 230 personas, salvo cuando el tratamiento de datos entrañe algún riesgo para los derechos o libertades de los individuos.
  • Deber de información. El deber de informar en el RGPD señala que se ha de informar a los usuarios sobre los datos que se recaban, con qué finalidad, durante cuánto tiempo, si se van a ceder a terceros, o las vías para ejercer sus derechos ARCO (Acceso, Rectificación, Supresión, Limitación del tratamiento, Portabilidad y Oposición).
  • Consentimiento expreso. Para poder tratar los datos personales, el responsable ha de obtener el consentimiento expreso, inequívoco, explícito y voluntario de sus titulares.
  • Auditorías y evaluaciones de impacto. Se deben realizar la auditoría de protección de datos con el objetivo de determinar los riesgos derivados del tratamiento y las medidas a adoptar. La evaluación de impacto en protección de datos será obligatoria si la empresa trata datos especialmente sensibles o a gran escala.
  • Medidas y procedimientos. El responsable será quien determine las medidas técnicas y organizativas necesarias para garantizar la seguridad e integración de los datos, y su protección frente a robos, pérdidas accidentales o accesos no autorizados.
  • Nombramiento DPO. En caso de ser necesario, el responsable nombrará un Delegado de Protección de Datos (DPO). El artículo 34 de la LOPDGDD determina qué empresas en España necesitan contar con esta figura.
  • Notificación de brechas de seguridad. Los responsables del tratamiento han de notificar las brechas de seguridad a la autoridad de protección de datos competente. El plazo máximo para notificar estas brechas de seguridad es de 72 horas.

¿Qué ocurre si el responsable de tratamiento RGPD no cumple con sus obligaciones?

La figura del responsable del tratamiento de datos en el RGPD también está sujeto a diversas sanciones en caso de no cumplir con lo que establece la normativa.

El régimen sancionador depende de factores como la gravedad de las actuaciones, el perjuicio ocasionado o extensión a lo largo del tiempo.

El artículo 83.4 del RGPD señala aquellos incumplimientos de la ley que podrían acarrear multas de hasta 10 millones de euros o el 2% de la facturación del último ejercicio, optándose siempre por la sanción de mayor cuantía.

Por su parte, el artículo 83.5 hace referencia a los incumplimientos más graves, los cuáles pueden ser sancionados con multas de 20 millones de euros o el 4% de la facturación del último ejercicio, optándose siempre por la sanción de mayor cuantía.

tarifas proteccion datos

¿Cómo debe ser el contrato con el responsable del tratamiento?

Al aceptar los servicios de una empresa o consentir el tratamiento de sus datos personales mediante alguna acción explícita o inequívoca, la persona está firmando un contrato con el responsable del tratamiento. Por ejemplo, cuando marca la casilla “He leído y acepto la política de privacidad“.

Para que este contrato sea legítimo, el responsable del tratamiento debe informar al interesado acerca del tratamiento de datos que va a realizar, por ejemplo, en los textos legales (aviso legal, política de privacidad y política de cookies).

En estos textos legales, el responsable de protección de datos informa a los interesados acerca de:

  • Su identidad.
  • Datos que se recaban.
  • Finalidad y base legal del tratamiento.
  • Plazo de conservación de datos.
  • Cesión de datos a terceros.
  • Existencia de decisiones automatizadas.
  • Canales para ejercer los derechos ARCO.
  • Medidas de seguridad aplicadas.
  • Términos y condiciones de uso del servicio.

Resumen de las funciones del responsable de protección de datos

En definitiva, el responsable de datos personales es la figura que tiene la mayor responsabilidad en cuanto al tratamiento de datos personales. De él depende la licitud del tratamiento y el respeto a la ley. Además, debe establecer las medidas técnicas y organizativas necesarias para asegurar la seguridad de los datos, y demostrar el cumplimiento de la normativa ante las autoridades de control.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.