Entre las obligaciones más importantes dentro del RGPD, está la de establecer el responsable del tratamiento de datos; en este artículo explicaremos quién es esta figura y cuáles son sus funciones
¿Quién es el responsable del tratamiento de datos personales?
El responsable del tratamiento de datos personales es la persona física o jurídica o autoridad pública con la tarea de decidir sobre el tratamiento de los datos personales de los interesados, para lo que debe determinar los fines (¿para qué?) y los medios (¿cómo?) de dicho tratamiento.
Además, el responsable del tratamiento se debe encargar también de aplicar las medidas técnicas y organizativas que garanticen la seguridad de los datos personales al llevar a cabo el tratamiento. Y ser capaz de demostrar el cumplimiento del Reglamento General de Protección de Datos (RGPD) y de la Ley Orgánica de Protección de Datos y Garantías de Derechos Digitales (LOPDGDD) ante la autoridad competente (en España, la AEPD, Agencia Española de Protección de Datos).
El responsable del tratamiento de datos según el RGPD
Encontramos la figura del responsable de protección de datos en su artículo 4.7, donde se recoge que puede ser tanto una persona física como una persona jurídica o una autoridad pública y que es quién decide, solo o junto a otros (corresponsables), cómo y para qué se lleva a cabo el tratamiento de datos personales.
Hablaremos de responsable del tratamiento de datos personales según el RGPD, cuando existe una que persona que trate de los datos; esta persona puede ser una persona física, una empresa o un organismo público, y existe un tratamiento de datos (que puede ser desde el almacenamiento en una base de datos, hasta su empleo para realizar comunicaciones comerciales, por ejemplo).
De acuerdo al principio de accountability (responsabilidad proactiva), el responsable del tratamiento debe garantizar el cumplimiento de la normativa de protección de datos, estableciendo para ello las medidas técnicas y organizativas que sean necesarias, en función de los riesgos y las categorías de datos personales que se tratan, y demostrar dicho cumplimiento.
Así mismo, el responsable del tratamiento también es quien debe asegurarse de que se cumple con los requisitos que exige la normativa de protección de datos en todo el ciclo de vida de los mismos y que estos se contemplan y mantienen en la cadena de contratación del tratamiento; si existen otros responsables o encargados del tratamiento, debe garantizar que estos cumplen con la normativa a través de un acuerdo o contrato vinculante.
Obligaciones del responsable del tratamiento de datos
Establecido quién es el responsable del tratamiento de datos personales, veamos cuáles son sus obligaciones de acuerdo al RGPD:
- A través del principio de Privacy by design, o protección de datos desde el diseño, el responsable del tratamiento debe considerar los riesgos que pueden derivarse del tratamiento de datos personales y adoptar las medidas necesarias que garanticen su seguridad, como la minimización de datos, es decir, tratar solo aquellos datos que sea necesario para cumplir con la finalidad del tratamiento.
- Elegir un único encargado del tratamiento. Además, debe asegurarse que dicho encargado aplicará las medidas técnicas y organizativas necesarias para cumplir con la normativa, firmando con él un contrato o acuerdo vinculante, que incluya las instrucciones para el tratamiento de datos.
- Toda persona que trate datos personales lo hará bajo la autoridad del responsable del tratamiento y deberán seguir sus instrucciones.
- Llevar a cabo el registro de actividades de tratamiento cuando la entidad tenga obligación de hacerlo y ponerlo a disposición de la AEPD cuando esta lo requiera.
- Cooperar con la autoridad de control (la AEPD) cuando esta lo solicite.
- Garantizar la seguridad del tratamiento tanto a nivel de confidencialidad de los datos como de su integridad, es decir, para evitar la pérdida, alteración accidental o ilícita de los datos personales transmitidos, conservados o tratados de otra forma, así como el acceso no autorizado a los mismos.
- Notificar las brechas de seguridad que puedan suponer un riesgo para los derechos y libertades de los interesados a la AEPD, en un plazo no superior a 72 horas. Así como informar a los interesados cuyos datos hayan podido verse afectados.
- Cuando el tratamiento de datos personales puede suponer un riesgo alto para los derechos y libertades de los interesados, llevar a cabo una EIPD (evaluación de impacto de protección de datos).
- Cuando proceda, designar al Delegado de Protección de Datos.
Consecuencias si el responsable de tratamiento no cumple con sus obligaciones
Si el responsable del tratamiento no cumple con sus obligaciones, como por ejemplo, no implantar las medidas de seguridad del RGPD o no informar de una brecha de seguridad en plazo, puede ser sancionado con:
- Multa de 10 millones de euros o el 2% de la facturación anual (la cuantía que sea mayor) por no cumplir con las obligaciones recogidas en el artículo 83.4 del RGPD.
- Multa de 20 millones de euros o el 4% de la facturación anual (la cuantía que sea mayor) por no cumplir con las obligaciones recogidas en el artículo 83.5 del RGPD.
Resumen sobre el responsable de protección de datos
En resumen, el responsable del tratamiento es quien tiene la mayor responsabilidad en lo que a protección de datos personales se refiere, es quien decide la finalidad y uso de los datos, siempre desde la legitimación del tratamiento y el respeto por la normativa. Así mismo, es quien debe establecer las medidas técnicas y organizativas que garanticen la seguridad, privacidad y confidencialidad de los datos y quien tendrá que demostrar el cumplimiento de la ley ante las autoridades de control competentes.
¿Necesitas ayuda?
¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.
Escribe aquí tu comentario