¡Pide presupuesto en 2 min! ✓
Glosario

Responsable del tratamiento de datos y el RGPD

7 Mins read

El responsable del tratamiento es una de las figuras clave para el cumplimiento de la normativa de protección de datos. En este artículo vemos qué es un responsable de tratamiento de datos, cuáles son sus funciones y obligaciones o sus diferencias con el encargado del tratamiento.

¿Quién es responsable de tratamiento de datos?

El responsable del tratamiento de datos es aquella persona física o jurídica o autoridad pública encargada de decidir sobre el tratamiento de datos personales de los individuos. Se encarga de determinar los fines y medios para el tratamiento, así como de establecer las medidas técnicas y organizativas que garanticen la seguridad de los datos. Además, debe ser capaz de demostrar el cumplimiento del RGPD y la LOPDGDD ante las autoridades de control.

La figura del responsable del tratamiento de datos en el RGPD

¿Dónde se define la figura del responsable del tratamiento en el RGPD?

El artículo 4, en su apartado 7, define al responsable de tratamiento de la siguiente manera:

La persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros.

Por su parte, el artículo 24 del RGPD señala de forma general los objetivos del responsable del tratamiento de datos personales, haciendo hincapié en su obligación de aplicar las medidas técnicas y organizativas necesarias para garantizar el cumplimiento de la ley conforme a los dispuesto en el Reglamento General de Protección de Datos.

Funciones y Obligaciones del responsable del tratamiento

El artículo 25 del RGPD hace referencia al principio de protección de datos desde el diseño y por defecto, señalando al responsable del tratamiento como la figura encargada de adoptar las medidas para aplicar de forma efectiva la protección de datos y las garantías necesarias para su tratamiento.

El artículo 26 señala que otra de las funciones y obligaciones del responsable del tratamiento de datos es elegir a un solo encargado del tratamiento. Además, debe asegurarse de que se dicho encargado ofrezca las suficientes garantías y asegurarse de que el contrato que vincula a ambas figuras incluya las instrucciones necesarias para el tratamiento de datos.

El artículo 29 señala que el tratamiento de datos se realizará bajo la autoridad del responsable, es decir, cualquier persona o entidad que trate datos personales bajo la autoridad del responsable está obligada a seguir sus instrucciones.

El artículo 30 indica que otra de las funciones del responsable del tratamiento es el registro de actividades del tratamiento. Este registro no será necesario si la empresa emplea a menos de 230 personas, salvo cuando el tratamiento de datos entrañe algún riesgo para los derechos o libertades de los individuos.

El artículo 31 del RGPD determina la obligación del responsable del tratamiento de cooperar con la autoridad de control, facilitando los datos que sean necesarios y cumpliendo con las directrices que ésta ordene.

El artículo 32 se refiere a la seguridad del tratamiento, es decir, que el responsable del tratamiento de datos debe garantizar un nivel adecuado de confidencialidad y de seguridad para evitar la destrucción, pérdida o alteración de los datos personales, así como acceso no autorizados a los mismos.

El artículo 34 obliga a los responsables del tratamiento a notificar las violaciones de seguridad a la autoridad de protección de datos competente. El plazo máximo para notificar estas brechas de seguridad es de 72 horas.

El artículo 35 del RGPD también señala la obligación del responsable de llevar a cabo una evaluación de impacto, siempre que el tratamiento de datos pueda suponer un alto riesgo para los interesados.

Por último, también es función del responsable del tratamiento el nombramiento de un Delegado de Protección de Datos, en los casos en que fuese necesario.

¿Qué ocurre si el responsable de tratamiento RGPD no cumple con sus obligaciones?

La figura del responsable del tratamiento de datos en el RGPD también está sujeto a diversas sanciones en caso de no cumplir con lo que establece la normativa.

El régimen sancionador depende de factores como la gravedad de las actuaciones, el perjuicio ocasionado o extensión a lo largo del tiempo.

El artículo 83.4 del RGPD señala aquellos incumplimientos de la ley que podrían acarrear multas de hasta 10 millones de euros o el 2% de la facturación del último ejercicio, optándose siempre por la sanción de mayor cuantía.

Por su parte, el artículo 83.5 hace referencia a los incumplimientos más graves, los cuáles pueden ser sancionados con multas de 20 millones de euros o el 4% de la facturación del último ejercicio, optándose siempre por la sanción de mayor cuantía.

¿Quién o quiénes son los corresponsables del tratamiento?

Una persona física o jurídica es corresponsable del tratamiento cuando llega a un acuerdo para tratar los fines y medios del tratamiento de datos de forma conjunta con otra empresa.

Es decir, una empresa corresponsable del tratamiento administra datos que también son responsabilidad de otra empresa. En estos casos, se dice que ambas empresas son corresponsables del tratamiento de datos.

Los corresponsables serán considerados como responsables del tratamiento para las actividades que les hayan sido encomendadas, y deberán cumplir con todo lo que establece el RGPD o la LOPDGDD para la figura de los responsables del tratamiento.

Diferencias entre encargado y responsable del tratamiento de datos personales

El encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio u otra entidad que presta un servicio al responsable que implica el tratamiento de datos personales por cuenta de éste.

¿Qué relación se debe establecer entre ambas figuras?

El responsable decide sobre la finalidad y utilización de la información, mientras que el encargado del tratamiento debe cumplir con las instrucciones de quien le confía un determinado servicio, en relación al adecuado tratamiento de los datos personales a los que pueda acceder como consecuencia de la prestación de este servicio.

Asimismo, el responsable del tratamiento es quien decide si quiere contar con la ayuda de un encargado del tratamiento, o si decide realizar el tratamiento de datos por sí mismo.

El encargado del tratamiento puede tomar todas las decisiones organizativas y operacionales precisas para la prestación del servicio que tenga contratado. En ningún caso puede modificar las finalidades y los usos de los datos ni los puede utilizar para sus propios fines. Además, las decisiones que adopte deben respetar en todo caso las instrucciones dadas por el responsable del tratamiento.

Ejemplo

Veamos un ejemplo para diferenciar entre encargado y responsable del tratamiento.

Por ejemplo, imagina una empresa de marketing que recaba datos de los usuarios para ofrecerles información sobre productos o servicios. Esta empresa tiene contratada a otra empresa de Big Data para almacenar los datos de los usuarios en sus servidores.

En este caso, el responsable del tratamiento sería la empresa de marketing, mientras que el encargado del tratamiento será la empresa que tiene contratada para el almacenamiento de datos de los clientes.

¿Cómo debe ser el contrato o acuerdo de encargo del tratamiento?

El acuerdo entre el responsable del tratamiento y el encargado debe establecer, de forma general, el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable.

Además, también debe quedar reflejados otra serie de aspectos, los cuales vemos a continuación.

Instrucciones del responsable del tratamiento

Es necesario identificar de forma clara y concreta cuáles son los tratamientos de datos a realizar por el encargado del tratamiento, atendiendo al tipo de servicio prestado y a la forma de prestarlo. Es especialmente necesario determinar de forma clara las comunicaciones a terceros que el responsable encomienda al encargado o que se derivan del servicio prestado.

Deber de confidencialidad

Debe indicarse la forma en que el encargado del tratamiento garantizará que las personas autorizadas para tratar datos personales se han comprometido, de forma expresa, a respetar la confidencialidad o, en su caso, si están sujetas a una obligación de confidencialidad de naturaleza estatutaria. El cumplimiento de esta obligación debe quedar documentado y a disposición del responsable del tratamiento.

Medidas de seguridad

Ese acuerdo debe recoger la obligación del encargado de adoptar todas las medidas de seguridad necesarias. Corresponde al responsable del tratamiento realizar la evaluación de riesgos para determinar las medidas de seguridad apropiadas para garantizar la seguridad de la información tratada y los derechos de las personas afectadas. El responsable y el encargado del tratamiento establecerán las medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado.

Régimen de subcontratación

El RGPD exige la autorización previa por escrito del responsable del tratamiento para que el encargado del tratamiento pueda requerir a otro encargado (subencargado) para desarrollar el servicio atribuido, cuando esto conlleve el tratamiento de los datos personales por parte de un tercero.

Derechos de los interesados

Se recogerá la manera en la que el encargado del tratamiento asistirá al responsable en la obligación de atender a las solicitudes de ejercicio de derechos de los interesados regulados en el RGPD:

  • Acceso a datos personales
  • Rectificación
  • Supresión (derecho al olvido)
  • Limitación del tratamiento
  • Portabilidad de datos
  • Oposición
  • A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles)

Colaborar en el cumplimiento de las obligaciones del responsable

Se debe establecer la forma en que el encargado ayudará al responsable del tratamiento a garantizar el cumplimiento de las obligaciones relativas a la aplicación de las medidas de seguridad que correspondan, la notificación de violaciones de datos a las Autoridades de Protección de Datos, la comunicación de violaciones de datos a los interesados, la realización de las evaluaciones de impacto relativa la protección de datos y, en su caso, la realización de consultas previas.

Destino de los datos al finalizar la prestación

Hay que prever si, una vez finalice la prestación de los servicios de tratamiento, se debe proceder a la supresión o a la devolución de los datos personales y de cualquier copia existente, ya sea al responsable o a otro encargado designado por el responsable.

Resumen

En definitiva, el responsable del tratamiento es la figura que tiene la mayor responsabilidad en cuanto al tratamiento de datos personales. De él depende la licitud del tratamiento y el respeto a la ley. Además, debe establecer las medidas técnicas y organizativas necesarias para asegurar la seguridad de los datos, y demostrar el cumplimiento de la normativa ante las autoridades de control.

Related posts
Glosario

Los 20 mejores conversores de imágenes en 2021

17 Mins read
Siempre que no puedas usar una foto, un gráfico o cualquier tipo de archivo de imagen en particular de la manera que…
Glosario

Top 20 conversores de vídeo en 2021

18 Mins read
De vez en cuando todos nos encontramos incapaces de abrir un archivo de video de cierto formato. Aquí es donde un software…
Glosario

Los 20 mejores conversores de audio

17 Mins read
Tener el mejor software de conversión de audio en tu PC o Mac es una herramienta extremadamente útil. Si te encanta la…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.