La normativa de Protección de Datos obliga a todas las empresas, entidades u organismos, públicos o privados, que manejen datos personales a cumplir una serie de requisitos y a establecer unas medidas de seguridad según el tipo de datos tratados.

En este ámbito existen sobre todo dos figuras relevantes y bastante desconocidas que son el Responsable del tratamiento y el Encargado del tratamiento. ¿Conoces la diferencia entre ambos?

Dedicaré este post a explicarte cada una de estas figuras para que entiendas cuál es la diferencia y el papel que desempeña cada uno de ellos en la Protección de Datos.

Protagonistas en Protección de Datos

Los datos de carácter personal que maneja cualquier entidad no son exclusivamente responsabilidad de una persona, sino que son varios los actores que pueden llegar a intervenir en su tratamiento:

  • Responsable del tratamiento
  • Encargado del tratamiento
  • Responsable de seguridad
  • Delegado de Protección de Datos
  • Usuarios
  • Otros terceros

Responsable del tratamiento

El responsable del tratamiento es la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente. Sus deberes son llevar un registro de los tratamientos de datos personales que se realizan y atender las peticiones de los ciudadanos sobre las consultas relacionadas con el ejercicio de sus derechos. Además de las relacionadas con la seguridad de los datos.

Actualmente, el Responsable del tratamiento se regula en el art.4 del RGPD. Es el responsable de la protección y el control de todos los datos personales que se encuentran en posesión de dicha empresa o entidad. Le corresponde establecer las finalidades para los que se utilizan los datos personales y qué protección de privacidad debe implementarse. Es el responsable de recoger los datos personales y de determinar la base legal para hacerlo. También determina por cuánto tiempo retener los datos.

Obligaciones

  • Incorporar las medidas técnicas y organizativas apropiadas para garantizar el procesamiento legal de datos personales
  • Aplicar políticas adecuadas de protección de datos
  • Llevar a cabo una evaluación de impacto de privacidad cuando sea necesario
  • Adherirse a los códigos de conducta elaborados por las autoridades de supervisión en los Estados miembros
  • Considerar la protección de datos por diseño y por defecto en las actividades de procesamiento
  • Demostrar el cumplimiento del Reglamento.

Encargado del tratamiento

La persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio.

Estos servicios deberán estar regulados por escrito o en alguna forma que permita acreditar su celebración y contenido. Especificando las instrucciones del responsable del fichero de acuerdo con lo establecido en la ley de Protección de Datos (véase el artículo sobre El contrato de tratamiento de datos).

Por ejemplo, el responsable puede tener un proveedor de Tecnologías de Ia Información externo que le presta el servicio de almacenamiento de los datos. Esa empresa de TI será el Encargado de tratamiento. O bien, el responsable puede facilitar algunos datos personales a una agencia de marketing para campañas de correo electrónico dirigidas. Esa agencia es un Encargado de tratamiento de datos en lo que respecta a los datos de la campaña.

Otros ejemplos de encargados serían:

  • las compañías de procesamiento de nómina,
  • los proveedores de servicios en la nube y
  • las empresas que brindan servicios en torno a la eliminación segura de datos personales.

En resumen, cualquier proveedor de servicios que obtenga acceso a los datos personales, controlado por la otra organización, es un Encargado de tratamiento.

El RGPD establece la responsabilidad solidaria tanto del Responsable como del Encargado de garantizar la protección de los datos personales a los que tienen acceso.

Contrato de encargo de tratamiento

Es importante que el acceso a datos personales por cuenta de terceros siempre se efectúe de acuerdo con contratos escritos que deberán indicar:

  • el sujeto de la materia
  • la duración del tratamiento
  • la naturaleza y el propósito del procesamiento
  • el tipo de datos personales a tratar
  • las obligaciones y derechos del encargado del tratamiento

Puedes descargar el modelo actualizado de Contrato de acceso a datos por terceros.

Requisitos del Encargado del tratamiento

El RGPD establece la necesidad de que los Encargados del tratamiento cumplan unos requisitos como son:

  • Firmar un contrato vinculante con el Responsable del tratamiento
  • Adherirse a los códigos de conducta o mecanismos de certificación para demostrar el cumplimiento
  • No involucrar a otros procesadores sin autorización previa del responsable
  • Si el primer encargado designa a otros subencargados, se aplicarán las mismas obligaciones de protección de datos que se aplican al primero.

Responsable de seguridad

Se trata de la persona a la que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables. Podrán existir varios responsables de seguridad, en cuyo caso se delimitarán los ficheros y tratamientos asignados a cada uno de ellos. El nombramiento de este responsable se establece como obligatorio en el caso de existir tratamientos de nivel de seguridad medio o alto.

Delegado de Protección de Datos

Este nuevo actor en materia de Protección de Datos es introducido por el nuevo Reglamento europeo.

Es un garante del cumplimiento de la normativa de la protección de datos en las empresas u organizaciones. Sin sustituir las funciones que desarrollan las Autoridades de Control.

Esta figura no es obligatoria para todas las organizaciones, solo tendrán que contar con un delegado:

  • las empresas públicas
  • las que tengan un tratamiento a gran escala o
  • las que recojan datos especialmente sensibles o relativos a condenas o infracciones penales.

Usuarios

Los usuarios son las personas que utilizan los ficheros de datos de carácter personal en su trabajo diario para introducir datos, consultarlos o elaborar informes. Son el colectivo más numeroso, y quizás el menos concienciado, por eso es necesario prestarles una mayor atención en su formación en materia de protección de datos, especialmente en los aspectos de seguridad.

Otros terceros

Con “otros terceros” nos estamos refiriendo a aquellas personas que por motivo de su desempeño profesional puedan potencialmente tener acceso a la información de carácter personal. Como personal de empresas externas encargadas del mantenimiento de software o hardware, personal de limpieza, vigilancia, consultores, etc. Estas personas podrán ser propias o ajenas a la organización, pero, en cualquier caso, se deberá limitar su acceso a los datos de carácter personal. Cuando se trate de personal ajeno, el contrato de prestación de servicios recogerá expresamente la prohibición de acceder a los datos personales. Y la obligación de secreto respecto a los datos que el personal hubiera podido conocer con motivo de la prestación del servicio.

¿Te ha quedado más clara la diferencia entre los distintos protagonistas en Protección de Datos? Espero tus comentarios.

¿Necesitas cumplir la LOPD?

Responsable del fichero, Encargado del tratamiento y otras personas con responsabilidad en protección de datos
4.9 (97.65%) 17 votos
  1. Repecto a esto a ver si me pueden aclarar algo con esta duda que tengo: Una Fundación que tiene una residencia, le cede la gestión de la misma a otra ASociación. En este caso la Asociación es encargado de tratamiento ¿NO?. Pero la Asociación tiene sus propios ficheros por la gestión de esa residencia debidamente inscritos. ¿ es correcto?

    1. Hola Carolina: efectivamente la Asociación será encargada del tratamiento, pero no tendrá que inscribir los ficheros de la residencia, sólo el responsable del fichero debe hacerlo. En caso contrario una asesoría, por ejemplo, se vería en la obligación de dar de alta cientos de ficheros puesto que es encargada del tratamiento de todos sus clientes.

  2. Buenos dias,

    El responsable de seguridad puede ser la misma persona que el responsable del fichero ¿cierto?. Si eres autónomo y tratas ficheros de nivel alto, ambas figuras recaeran en la misma persona ¿correcto?.

    Otra cuestión, ¿qué opinas sobre el contenido del siguiente enlace?:

    http://www.icjusticia.blogspot.com.es/2013/07/prohibido-grabar-y-fotografiar.html

    Creo que las imágenes que capten las cámaras de vigilancia deberían servir como prueba si existen irregularidades. Pienso que se llega al absurdo al no permitir tal circunstancia ¿no crees?

    Muchas gracias y un cordial saludo

    1. Natalia: efectivamente responsable del fichero y de seguridad pueden ser una sola persona.

      Sobre el enlace me parece muy razonable el informe de la Agencia. No se habla de cámaras de videovigilancia, sino de que cualquiera pueda filmar en cualquier momento a cualquier funcionario del INEM con cualquier dispositivo incluyendo su móvil personal. Autorizar eso sería entrar en un Gran Hermano de verdad.

  3. Hola Jesús,

    Estoy ayudando a un amigo abogado a adaptarse a la LOPD y tengo una duda parecida a la de natalia (aunque no la misma exactamente): el encargado del tratamiento (en ese caso un compañero de despacho) podría ser también encargado de seguridad? Entiendo que al trabajar en el despacho (no es externo), podría ser ambas cosas.

    El tema es: El responsable del fichero es la propia empresa, por lo que es una persona jurídica. Sin embargo, habrá una persona encargada del tratamiento en general, y también se encargaría de la seguridad. Eso sería correcto, no? O estoy interpretando algo mal?

    Muchas gracias por la respuesta y por tu página, que es muy ilustrativa y fácil de entender.

    Un saludo.

  4. Muchas gracias!

    Es la primera vez que paso de la teoría a la práctica y todavía voy algo inseguro en algunos aspectos.

    Un saludo!

  5. Hola,

    le doy las gracias de antemano por la ayuda que nos presta. Soy una doctora que colabora en diferentes centros médicos, no tengo personal y no guardo datos de ningún paciente, los guardan en las clínicas. Mi pregunta es tengo que adaptarme a la Ley de Protección de Datos?

    Un saludo.

  6. Loli: si realmente actúa siempre como una profesional externa, en tal caso ocupa la figura que en LOPD se denomina “encargada del tratamiento”. Por ello debería tener suscrito un contrato de tratamiento de datos con cada centro (o haber incorporado las cláusulas correspondientes en el contrato de servicios que haya firmado), en el que se expliciten las condiciones de uso de los datos de los pacientes.
    La responsabilidad es mayor para cada uno de los centros, como responsables del fichero que son, pero en el caso de que usted utilizara los datos al margen de las instrucciones citadas, entonces podría ser declara responsable también y ser sancionada como tal.

  7. En ese caso no necesito adaptarme a la LOPD no? ya que los datos los recaba y almacena el Responsable del Fichero que es el Centro Médico no?
    Simplemente con firmar el contrato correspondiente las dos partes estaríamos cumpliendo con la LOPD.
    Gracias


Comments are closed.