La normativa de Protección de Datos obliga a todas las empresas, entidades u organismos, públicos o privados, que manejen datos personales a cumplir una serie de requisitos y a establecer unas medidas de seguridad según el tipo de datos tratados.

En este ámbito existen sobre todo dos figuras relevantes y bastante desconocidas que son el Responsable del tratamiento y el Encargado del tratamiento.

¿Conoces la diferencia entre ambos?

Dedicaré este post a explicarte cada una de estas figuras para que entiendas cuál es la diferencia y el papel que desempeña cada uno de ellos en la Protección de Datos.

Protagonistas en Protección de Datos

Los datos de carácter personal que maneja cualquier entidad no son exclusivamente responsabilidad de una persona, sino que son varios los actores que pueden llegar a intervenir en su tratamiento:

  1. Responsable del tratamiento
  2. Encargado del tratamiento
  3. Responsable de seguridad
  4. Delegado de Protección de Datos
  5. Usuarios
  6. Otros terceros

Vamos a analizar cada uno de ellos.

1. Responsable del tratamiento

El responsable del tratamiento es la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente.

Sus deberes son llevar un registro de los tratamientos de datos personales que se realizan y atender las peticiones de los ciudadanos sobre las consultas relacionadas con el ejercicio de sus derechos. Además de las relacionadas con la seguridad de los datos.

Actualmente, el Responsable del tratamiento se regula en el art.4 del RGPD.

Es el responsable de la protección y el control de todos los datos personales que se encuentran en posesión de dicha empresa o entidad. Le corresponde establecer las finalidades para los que se utilizan los datos personales y qué protección de privacidad debe implementarse.

Es el responsable de recoger los datos personales y de determinar la base legal para hacerlo. También determina por cuánto tiempo retener los datos.

Obligaciones

  • Incorporar las medidas técnicas y organizativas apropiadas para garantizar el procesamiento legal de datos personales
  • Aplicar políticas adecuadas de protección de datos
  • Llevar a cabo una evaluación de impacto de privacidad cuando sea necesario
  • Adherirse a los códigos de conducta elaborados por las autoridades de supervisión en los Estados miembros
  • Considerar la protección de datos por diseño y por defecto en las actividades de procesamiento
  • Demostrar el cumplimiento del Reglamento.

¿Necesitas ayuda?


¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.


Encargado del tratamiento

La persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio.

Estos servicios deberán estar regulados por escrito o en alguna forma que permita acreditar su celebración y contenido. Especificando las instrucciones del responsable del fichero de acuerdo con lo establecido en la ley de Protección de Datos (véase el artículo sobre El contrato de encargado de tratamiento de datos).

Por ejemplo, el responsable puede tener un proveedor de Tecnologías de Ia Información externo que le presta el servicio de almacenamiento de los datos. Esa empresa de TI será el Encargado de tratamiento.

O bien, el responsable puede facilitar algunos datos personales a una agencia de marketing para campañas de correo electrónico dirigidas. Esa agencia es un Encargado de tratamiento de datos en lo que respecta a los datos de la campaña.

Otros ejemplos de encargados serían:

  • las compañías de procesamiento de nómina,
  • los proveedores de servicios en la nube y
  • las empresas que brindan servicios en torno a la eliminación segura de datos personales.

En resumen, cualquier proveedor de servicios que obtenga acceso a los datos personales, controlado por la otra organización, es un Encargado de tratamiento.

El RGPD establece la responsabilidad solidaria tanto del Responsable como del Encargado de garantizar la protección de los datos personales a los que tienen acceso.

Contrato de encargo de tratamiento

Es importante que el acceso a datos personales por cuenta de terceros siempre se efectúe de acuerdo con contratos escritos que deberán indicar:

  • el sujeto de la materia
  • la duración del tratamiento
  • la naturaleza y el propósito del procesamiento
  • el tipo de datos personales a tratar
  • las obligaciones y derechos del encargado del tratamiento

Puedes descargar el modelo actualizado de Contrato de acceso a datos por terceros.

Requisitos del Encargado del tratamiento

El RGPD establece la necesidad de que los Encargados del tratamiento cumplan unos requisitos como son:

  • Firmar un contrato vinculante con el Responsable del tratamiento
  • Adherirse a los códigos de conducta o mecanismos de certificación para demostrar el cumplimiento
  • No involucrar a otros procesadores sin autorización previa del responsable
  • Si el primer encargado designa a otros subencargados, se aplicarán las mismas obligaciones de protección de datos que se aplican al primero.

Ejemplo: empresas de mensajería

Como indicaba anteriormente, siempre que contratemos la prestación de algún servicio tenemos que comprobar si vamos a ceder datos personales de nuestros clientes o empleados a ese prestador del servicio.

Si cedemos esos datos, ese tercero sería un encargado del tratamiento y debemos firmar con él el contrato de encargo del tratamiento. También debemos verificar que ese tercero cumple los requisitos exigidos por la normativa de Protección de datos.

Un caso concreto es el de las empresas de mensajería. Estas empresas no tratan datos personales del responsable del tratamiento ya que no acceden al contenido de las cartas ni almacenan los datos que figuran en los sobres. Por eso es necesario evaluar su situación para ver si son o no consideradas como encargados del tratamiento.

En primer lugar, para que exista un tratamiento no es necesario acceder al contenido de las cartas. De hecho, el artículo 18 de la Constitución establece el carácter privado de la correspondencia. Cuando contratamos un servicio de mensajería no pensamos en ningún momento en que van a tener acceso al contenido de las cartas o paquetes.

La Constitución protege el secreto de las comunicaciones con lo que, esa infracción, constituiría un delito. Existen excepciones concretas como los correos con certificación de texto o burofaxes.

Por otro lado, debemos tener en cuenta también lo que considera el RGPD como datos personales. Son todos aquellos datos referidos a una persona física identificada o identificable (es decir, si su identidad puede averiguarse directa o indirectamente).

Según esto, los datos que figuran en las cartas y paquetes son datos personales ya que puede identificarse claramente a una persona con su nombre, apellidos y dirección.

Seguimiento de las indicaciones del responsable

Según la ley reguladora del servicio postal universal, los prestadores de servicios postales tienen prohibido proporcionar cualquier dato referido a la existencia del envío postal, sus circunstancias externas, la clase de envío o la identidad y dirección del destinatario y del remitente. También les exige la obligación de proteger toda la información que se guarde o se trasmita.

Aunque no se realice una lista de los envíos y se guarden esos datos, la información que es trasmitida también está sujeta a la protección de datos.

De todo esto podemos deducir que, en el momento en que se sigan las instrucciones del responsable sobre el tipo de envío, el horario en que se realizará y dónde entregarlo, se está actuando como encargado de tratamiento. Las empresas de mensajería no deciden sobre esas cuestiones sino que cumplen las órdenes de la empresa que contrata sus servicios.

Estas empresas de mensajería son consideradas como encargados de tratamiento puesto que tienen acceso a los datos personales que aparecen en el sobre. Y dentro de sus obligaciones está la de garantizar que observarán la diligencia debida y que no usarán los datos para finalidades diferentes.

Para ello es obligatoria la firma del contrato de encargo de tratamiento con el responsable y colaborar en el examen por parte del responsable del cumplimiento de la normativa de protección de datos. Para facilitar esa evaluación deben proporcionar al responsable del tratamiento toda la información necesaria.

Responsable de seguridad

Se trata de la persona a la que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables. Podrán existir varios responsables de seguridad, en cuyo caso se delimitarán los ficheros y tratamientos asignados a cada uno de ellos. El nombramiento de este responsable se establece como obligatorio en el caso de existir tratamientos de nivel de seguridad medio o alto.

Delegado de Protección de Datos

Este nuevo actor en materia de Protección de Datos es introducido por el nuevo Reglamento europeo.

Es un garante del cumplimiento de la normativa de la protección de datos en las empresas u organizaciones. Sin sustituir las funciones que desarrollan las Autoridades de Control.

Esta figura no es obligatoria para todas las organizaciones, solo tendrán que contar con un delegado:

  • las empresas públicas
  • las que tengan un tratamiento a gran escala o
  • las que recojan datos especialmente sensibles o relativos a condenas o infracciones penales.

Usuarios

Los usuarios son las personas que utilizan los ficheros de datos de carácter personal en su trabajo diario para introducir datos, consultarlos o elaborar informes. Son el colectivo más numeroso, y quizás el menos concienciado, por eso es necesario prestarles una mayor atención en su formación en materia de protección de datos, especialmente en los aspectos de seguridad.

Otros terceros

Con “otros terceros” nos estamos refiriendo a aquellas personas que por motivo de su desempeño profesional puedan potencialmente tener acceso a la información de carácter personal.

Como personal de empresas externas encargadas del mantenimiento de software o hardware, personal de limpieza, vigilancia, consultores, etc.

Estas personas podrán ser propias o ajenas a la organización, pero, en cualquier caso, se deberá limitar su acceso a los datos de carácter personal. Cuando se trate de personal ajeno, el contrato de prestación de servicios recogerá expresamente la prohibición de acceder a los datos personales. Y la obligación de secreto respecto a los datos que el personal hubiera podido conocer con motivo de la prestación del servicio.

¿Te ha quedado más clara la diferencia entre los distintos protagonistas en Protección de Datos? Espero tus comentarios.

¿Necesitas cumplir la LOPD?

Responsable del fichero, Encargado del tratamiento y otras personas con responsabilidad en protección de datos
4.8 (96%) 20 voto[s]

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.

  1. Repecto a esto a ver si me pueden aclarar algo con esta duda que tengo: Una Fundación que tiene una residencia, le cede la gestión de la misma a otra ASociación. En este caso la Asociación es encargado de tratamiento ¿NO?. Pero la Asociación tiene sus propios ficheros por la gestión de esa residencia debidamente inscritos. ¿ es correcto?

    1. Hola Carolina: efectivamente la Asociación será encargada del tratamiento, pero no tendrá que inscribir los ficheros de la residencia, sólo el responsable del fichero debe hacerlo. En caso contrario una asesoría, por ejemplo, se vería en la obligación de dar de alta cientos de ficheros puesto que es encargada del tratamiento de todos sus clientes.

  2. Buenos dias,

    El responsable de seguridad puede ser la misma persona que el responsable del fichero ¿cierto?. Si eres autónomo y tratas ficheros de nivel alto, ambas figuras recaeran en la misma persona ¿correcto?.

    Otra cuestión, ¿qué opinas sobre el contenido del siguiente enlace?:

    http://www.icjusticia.blogspot.com.es/2013/07/prohibido-grabar-y-fotografiar.html

    Creo que las imágenes que capten las cámaras de vigilancia deberían servir como prueba si existen irregularidades. Pienso que se llega al absurdo al no permitir tal circunstancia ¿no crees?

    Muchas gracias y un cordial saludo

    1. Natalia: efectivamente responsable del fichero y de seguridad pueden ser una sola persona.

      Sobre el enlace me parece muy razonable el informe de la Agencia. No se habla de cámaras de videovigilancia, sino de que cualquiera pueda filmar en cualquier momento a cualquier funcionario del INEM con cualquier dispositivo incluyendo su móvil personal. Autorizar eso sería entrar en un Gran Hermano de verdad.

  3. Hola Jesús,

    Estoy ayudando a un amigo abogado a adaptarse a la LOPD y tengo una duda parecida a la de natalia (aunque no la misma exactamente): el encargado del tratamiento (en ese caso un compañero de despacho) podría ser también encargado de seguridad? Entiendo que al trabajar en el despacho (no es externo), podría ser ambas cosas.

    El tema es: El responsable del fichero es la propia empresa, por lo que es una persona jurídica. Sin embargo, habrá una persona encargada del tratamiento en general, y también se encargaría de la seguridad. Eso sería correcto, no? O estoy interpretando algo mal?

    Muchas gracias por la respuesta y por tu página, que es muy ilustrativa y fácil de entender.

    Un saludo.

  4. Muchas gracias!

    Es la primera vez que paso de la teoría a la práctica y todavía voy algo inseguro en algunos aspectos.

    Un saludo!

  5. Hola,

    le doy las gracias de antemano por la ayuda que nos presta. Soy una doctora que colabora en diferentes centros médicos, no tengo personal y no guardo datos de ningún paciente, los guardan en las clínicas. Mi pregunta es tengo que adaptarme a la Ley de Protección de Datos?

    Un saludo.

  6. Loli: si realmente actúa siempre como una profesional externa, en tal caso ocupa la figura que en LOPD se denomina «encargada del tratamiento». Por ello debería tener suscrito un contrato de tratamiento de datos con cada centro (o haber incorporado las cláusulas correspondientes en el contrato de servicios que haya firmado), en el que se expliciten las condiciones de uso de los datos de los pacientes.
    La responsabilidad es mayor para cada uno de los centros, como responsables del fichero que son, pero en el caso de que usted utilizara los datos al margen de las instrucciones citadas, entonces podría ser declara responsable también y ser sancionada como tal.

  7. En ese caso no necesito adaptarme a la LOPD no? ya que los datos los recaba y almacena el Responsable del Fichero que es el Centro Médico no?
    Simplemente con firmar el contrato correspondiente las dos partes estaríamos cumpliendo con la LOPD.
    Gracias

  8. una persona responsable de fichero de pacientes , le da derecho a ser propietario de esa cartera de pacientes ?
    Si está en régimen de arrendamiento , cuando termine el contrato , puede decir que esa cartera de pacientes de la que tuvo su custodia es suya y no devolverla al propietario de la clinica ?

    1. Buenos días Mª del Mar, esos datos son propiedad de la clínica que es la responsable de su tratamiento. Esa persona, tanto si es empleado como si es autónomo, al finalizar su relación con la clínica debe devolver esos datos o destruirlos. Pero no podría usarlos sin el consentimiento de los pacientes y la autorización de la clínica.

  9. Buenos días, para el seguro de una actividad extraescolar los organizadores me han solicitado foto del DNI de mi hijo (tiene actualmente 10 años), me piden que se lo envie a su correo personal, en vez de al correo de la empresa que gestiona las extraescolares, ¿es esto legal?

    Muchas gracias