Conoce Atico34 - Solicita presupuesto
GlosarioLOPDGDD & RGPD

Responsable del tratamiento de datos ¿Quién es y qué obligaciones tiene?

El responsable del tratamiento es una de las figuras clave para el cumplimiento de la normativa de protección de datos; en este artículo veremos quién es el responsable del tratamiento de datos personales, cuáles sus obligaciones y funciones.

¿Quién es el responsable de tratamiento de datos?

El responsable del tratamiento de datos es aquella persona física o jurídica o autoridad pública encargada de decidir sobre el tratamiento de datos personales de los individuos. Se encarga de determinar los fines y medios para el tratamiento, así como de establecer las medidas técnicas y organizativas que garanticen la seguridad de los datos. Además, debe ser capaz de demostrar el cumplimiento del RGPD y la LOPDGDD ante las autoridades de control. El responsable del tratamiento es quien decide si quiere contar con la ayuda de un encargado del tratamiento, o si decide realizar el tratamiento de datos por sí mismo.

El responsable del tratamiento de datos personales es aquella persona física, jurídica o autoridad pública que se encarga de decidir sobre el tratamiento de datos personales de los interesados, determinando tanto los fines (¿para qué se usan?) como los medios (¿cómo se usan?) que definirán dicho tratamiento.

Es decir, el responsable de protección de datos es la persona o entidad que trata los datos personales y, por tanto, y como su nombre indica, tiene la responsabilidad de garantizar la confidencialidad, integridad y disponibilidad de los datos personales que le han sido comunicados o cedidos. Puede ser una empresa, una administración pública, un autónomo, un particular o una comunidad de vecinos (quizás te interese leer nuestro artículo sobre la protección de datos en comunidades de propietarios).

El responsable del tratamiento de datos en el RGPD

La figura del responsable del tratamiento en el RGPD está definida en el artículo 4.7, que dice:

Es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros.

Por su parte, el artículo 24 del RGPD señala de forma general los objetivos del responsable del tratamiento de datos personales, haciendo hincapié en su obligación de aplicar las medidas técnicas y organizativas necesarias para garantizar el cumplimiento de la ley conforme a lo dispuesto en el propio Reglamento.

obligaciones responsable tratamiento

¿Qué obligaciones tiene el responsable del tratamiento de datos?

Las principales obligaciones del responsable del tratamiento de datos son:

  • Llevar un registro de las actividades de tratamiento. Los registros de actividades de tratamiento de datos personales son obligatorios para empresas con más de 250 empleados, cuando se tratan datos personales a gran escala de manera sistemática, o se traten datos de categorías especiales, lo que supone un riesgo para los derechos y libertades fundamentales de los individuos.
  • Deber de información. El deber de informar en el RGPD señala que se ha de informar a los usuarios sobre los datos que se recaban, con qué finalidad, durante cuánto tiempo, si se van a ceder a terceros, o las vías para ejercer sus derechos ARCO (Acceso, Rectificación, Supresión, Limitación del tratamiento, Portabilidad y Oposición), así mismo, también se debe informar sobre si los datos se usarán para elaborar perfiles para la toma de decisiones automatizadas (descubre más información sobre esto en nuestro artículo sobre la elaboración de perfiles en materia de protección de datos).
  • Consentimiento expreso. Para poder tratar los datos personales, el responsable ha de obtener el consentimiento expreso, inequívoco, explícito y voluntario de sus titulares.
  • Análisis de riesgos y evaluaciones de impacto. Con carácter previo a cualquier tratamiento, se deben realizar análisis de riesgos con el objetivo de determinar los riesgos derivados del mismo y las medidas de seguridad a adoptar para mitigarlos. Así mismo, cuando del análisis de riesgos se concluya que existe un nivel de riesgo elevado para los derechos y libertades de los individuos, el responsable del tratamiento habrá de realizar evaluaciones de impacto. Estas evaluaciones de impacto en protección de datos también son obligatorias cuando el tratamiento concierna a datos de categorías especiales (art.9 del RGPD).
  • Medidas y procedimientos. El responsable será quien determine las medidas técnicas y organizativas necesarias para garantizar la seguridad e integración de los datos, y su protección frente a robos, pérdidas accidentales o accesos no autorizados.
  • Nombramiento DPO. En caso de ser necesario, el responsable nombrará un Delegado de Protección de Datos (DPO). El artículo 37 del RGPD y el artículo 34 de la LOPDGDD determinan qué entidades necesitan contar con esta figura. El responsable deberá designar a un DPO que cumpla con los requisitos para ello, tal y como explicamos en nuestro artículo sobre quién puede ser Delegado de Protección de Datos.
  • Notificación de brechas de seguridad. Los responsables del tratamiento han de notificar las brechas de seguridad a la autoridad de protección de datos competente. El plazo máximo para notificar estas brechas de seguridad es de 72 horas.

¿Qué ocurre si el responsable de tratamiento RGPD no cumple con sus obligaciones?

La figura del responsable del tratamiento de datos en el RGPD también está sujeto a diversas sanciones en caso de no cumplir con lo que establece la normativa.

El régimen sancionador depende de factores como la gravedad de las actuaciones, el perjuicio ocasionado o extensión a lo largo del tiempo.

El artículo 83.4 del RGPD señala aquellos incumplimientos de la ley que podrían acarrear multas de hasta 10 millones de euros o el 2% de la facturación del último ejercicio, optándose siempre por la sanción de mayor cuantía.

Por su parte, el artículo 83.5 hace referencia a los incumplimientos más graves, los cuales pueden ser sancionados con multas de 20 millones de euros o el 4% de la facturación del último ejercicio, optándose siempre por la sanción de mayor cuantía.

Así mismo, la LOPDGDD establece las siguientes horquillas para las sanciones:

  • Hasta 40.000 euros para las infracciones leves (art. 74).
  • De 40.001 euros a 300.000 euros para las infracciones graves (art.73).
  • De 300.001 euros a 20 millones de euros (o el 4% de la facturación anual) para las infracciones muy graves (art.72).

tarifas proteccion datos

Funciones del responsable de protección de datos

De las obligaciones del responsable del tratamiento se derivan, por lo tanto, sus funciones, que podemos resumir en:

  • Determinar qué datos se recaban, cuándo, para qué y durante cuánto tiempo.
  • Determinar los tratamientos de datos que será necesario realizar.
  • Realizar los correspondientes análisis de riesgos y evaluaciones de impacto.
  • Adoptar las medidas de seguridad técnicas y organizativas necesarias para reducir los riesgos derivados de los tratamientos.
  • Tener actualizados los registros de actividades de tratamiento, si tiene la obligación de llevarlos.
  • Recabar el consentimiento expreso de los interesados, cuando este sea la base legitimadora del tratamiento.
  • Informar a los interesados sobre el tratamiento de sus datos (redacción de cláusulas de protección de datos, de textos legales web, etc.).
  • Atender y responder las solicitudes de derechos ARCO.
  • Informar sobre las brechas de seguridad sufridas, que pongan en riesgo los datos personales que tratan.
  • Demostrar el cumplimiento de la normativa, lo que implica ser capaces de acreditar que cumplen con sus obligaciones. Una forma de hacerlo es realizando auditorías de protección de datos con carácter periódico.
  • Redactar los contratos de encargo de tratamiento y asegurarse de que el encargado del tratamiento cumple con el RGPD y la LOPDGDD.
  • Designar al DPO cuando sea necesario (pudiendo hacerlo con carácter interno o contratando a un DPO externo).

¿Qué diferencia hay entre encargado y responsable de protección de datos?

Es importante no confundir y tener presentes las diferencias entre responsable y encargado del tratamiento de datos, que podemos resumir de la siguiente manera; mientras el responsable de protección de datos o responsable del tratamiento es quien recaba los datos personales y fija las condiciones y finalidad del tratamiento, el encargado es quien, en el desempeño de un servicio para el responsable, tiene acceso a los datos personales que este maneja y debe tratar dichos datos de acuerdo a las condiciones y finalidad fijadas por el responsable.

En definitiva, el responsable de datos personales es la figura que tiene la mayor responsabilidad en cuanto al tratamiento de datos personales. De él depende la licitud del tratamiento y el respeto a la ley. Además, debe establecer las medidas técnicas y organizativas necesarias para asegurar la seguridad de los datos, y demostrar el cumplimiento de la normativa ante las autoridades de control.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.