Aclarando «responsable del tratamiento» y «encargado del tratamiento»

638

El Grupo del Artículo 29 sobre Protección de Datos es un órgano consultivo europeo independiente en materia de protección de datos y derecho a la intimidad creado en virtud del artículo 29 de la Directiva 95/46/CE.

El 16 de febrero de 2010 emitió el Dictamen 1/2010 sobre los conceptos de «responsable del tratamiento» y «encargado del tratamiento» con la intención de resumir el alcance de cada uno.

El concepto de «responsable del tratamiento» y su interacción con el concepto de «encargado del tratamiento» desempeñan un papel fundamental en la aplicación de la Directiva 95/46/CE, puesto que determinan quién debe ser responsable del cumplimiento de las normas de protección de datos, cómo pueden ejercer sus derechos los interesados, cuál es la legislación nacional aplicable y con qué eficacia pueden operar las autoridades de protección de datos.

En resumen, el Dictamen indica:

El concepto de responsable del tratamiento es autónomo, en el sentido de que debe interpretarse fundamentalmente con arreglo a la legislación comunitaria de protección de datos, y funcional, en el sentido de que su objetivo es asignar responsabilidades en función de la capacidad de influencia de hecho, y, por consiguiente, se basa en un análisis de los hechos más que en un análisis formal.

La definición de la Directiva consta de tres componentes fundamentales:

  1. el aspecto personal («la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo»);
  2. la posibilidad de un control plural («que solo o conjuntamente con otros»); y
  3. los elementos esenciales para distinguir al responsable del tratamiento de otros agentes («determine los fines y los medios del tratamiento de datos personales»)

Este dictamen analiza también el concepto de encargado del tratamiento, cuya existencia depende de una decisión adoptada por el responsable del tratamiento, que puede decidir que los datos se traten dentro de su organización o bien delegar todas o una parte de las actividades de tratamiento en una organización externa.

Para poder actuar como encargado del tratamiento tienen que darse dos condiciones básicas: por una parte, ser una entidad jurídica independiente del responsable del tratamiento y, por otra, realizar el tratamiento de datos personales por cuenta de éste.

Aclarando «responsable del tratamiento» y «encargado del tratamiento»
Vota este artículo

4 Comentarios

  1. Hay una duda adicionalque me surje a este respecto. Cuando una asesoría o asesor es encargado del tratamiento de datos de caracter personal por cuenta del responsable del fichero se da el caso en la gran mayoría de los casos de que los datos del fichero objeto del encargo que son transferidos para realizar este tratamiento no corresponden a la totalidad de los datos contenidos en el fichero, sino aquella porción que el encargado requiere para la prestación del servicio que presta (asesoría fiscal o contable p.e.)
    Cuando el fichero es de nivel alto o medio, pero los datos tratados para la prestación del servico no alcanzan ese nivel ¿sería lógico demandar al encargado de tratamiento la adopción de medidas de seguridad de nivel medio o alto, correspondientes al fichero?

  2. Hola me surge la duda de cuando una empresa recoge datos en un formulario para un tercero, caso de corredores de seguros para la compañía, éstos son encargados del tratamiento si pasan toda la documentación a la compañía.

Dejar respuesta