Entre las obligaciones más importantes dentro del RGPD, está la de establecer el responsable del tratamiento de datos; en este artículo explicaremos quién es esta figura y cuáles son sus funciones

¿Quién es el responsable del tratamiento de datos personales?

El responsable del tratamiento de datos personales es la persona física o jurídica o autoridad pública con la tarea de decidir sobre el tratamiento de los datos personales de los interesados, para lo que debe determinar los fines (¿para qué?) y los medios (¿cómo?) de dicho tratamiento.

Además, el responsable del tratamiento se debe encargar también de aplicar las medidas técnicas y organizativas que garanticen la seguridad de los datos personales al llevar a cabo el tratamiento. Y ser capaz de demostrar el cumplimiento del Reglamento General de Protección de Datos (RGPD) y de la Ley Orgánica de Protección de Datos y Garantías de Derechos Digitales (LOPDGDD) ante la autoridad competente (en España, la AEPD, Agencia Española de Protección de Datos).

El responsable del tratamiento de datos según el RGPD

Encontramos la figura del responsable del tratamiento en el RGPD en su artículo 4.7, donde se recoge que puede ser tanto una persona física como una persona jurídica o una autoridad pública y que es quién decide, solo o junto a otros (corresponsables), cómo y para qué se lleva a cabo el tratamiento de datos personales.

Hablaremos de responsable del tratamiento de datos personales según el RGPD, cuando existe una que persona que trate de los datos; esta persona puede ser una persona física, una empresa o un organismo público, y existe un tratamiento de datos (que puede ser desde el almacenamiento en una base de datos, hasta su empleo para realizar comunicaciones comerciales, por ejemplo).

De acuerdo al principio de accountability (responsabilidad proactiva), el responsable del tratamiento debe garantizar el cumplimiento de la normativa de protección de datos, estableciendo para ello las medidas técnicas y organizativas que sean necesarias, en función de los riesgos y las categorías de datos personales que se tratan, y demostrar dicho cumplimiento.

Así mismo, el responsable del tratamiento también es quien debe asegurarse de que se cumple con los requisitos que exige la normativa de protección de datos en todo el ciclo de vida de los mismos y que estos se contemplan y mantienen en la cadena de contratación del tratamiento; si existen otros responsables o encargados del tratamiento, debe garantizar que estos cumplen con la normativa a través de un acuerdo o contrato vinculante.

Obligaciones del responsable del tratamiento de datos

Establecido quién es el responsable del tratamiento de datos personales, veamos cuáles son sus obligaciones de acuerdo al RGPD:

  • A través del principio de Privacy by design, o protección de datos desde el diseño, el responsable del tratamiento debe considerar los riesgos que pueden derivarse del tratamiento de datos personales y adoptar las medidas necesarias que garanticen su seguridad, como la minimización de datos, es decir, tratar solo aquellos datos que sea necesario para cumplir con la finalidad del tratamiento.
  • Elegir un único encargado del tratamiento. Además, debe asegurarse que dicho encargado aplicará las medidas técnicas y organizativas necesarias para cumplir con la normativa, firmando con él un contrato o acuerdo vinculante, que incluya las instrucciones para el tratamiento de datos.
  • Toda persona que trate datos personales lo hará bajo la autoridad del responsable del tratamiento y deberán seguir sus instrucciones.
  • Llevar a cabo el registro de actividades de tratamiento cuando la entidad tenga obligación de hacerlo y ponerlo a disposición de la AEPD cuando esta lo requiera.
  • Cooperar con la autoridad de control (la AEPD) cuando esta lo solicite.
  • Garantizar la seguridad del tratamiento tanto a nivel de confidencialidad de los datos como de su integridad, es decir, para evitar la pérdida, alteración accidental o ilícita de los datos personales transmitidos, conservados o tratados de otra forma, así como el acceso no autorizado a los mismos.
  • Notificar las brechas de seguridad que puedan suponer un riesgo para los derechos y libertades de los interesados a la AEPD, en un plazo no superior a 72 horas. Así como informar a los interesados cuyos datos hayan podido verse afectados.
  • Cuando el tratamiento de datos personales puede suponer un riesgo alto para los derechos y libertades de los interesados, llevar a cabo una EIPD (evaluación de impacto de protección de datos).
  • Cuando proceda, designar al Delegado de Protección de Datos.

Responsable del tratamiento busca datos

Consecuencias si el responsable de tratamiento no cumple con sus obligaciones

Si el responsable del tratamiento no cumple con sus obligaciones, como por ejemplo, no implantar las medidas de seguridad del RGPD o no informar de una brecha de seguridad en plazo, puede ser sancionado con:

  • Multa de 10 millones de euros o el 2% de la facturación anual (la cuantía que sea mayor) por no cumplir con las obligaciones recogidas en el artículo 83.4 del RGPD.
  • Multa de 20 millones de euros o el 4% de la facturación anual (la cuantía que sea mayor) por no cumplir con las obligaciones recogidas en el artículo 83.5 del RGPD.

Diferencias entre responsable del tratamiento y encargado del tratamiento

A veces es fácil confundir al responsable del tratamiento y al encargado del tratamiento, pero son figuras diferentes (como ya hemos visto) con diferentes funciones.

Así, el encargado del tratamiento es la persona física o jurídica o autoridad pública, que lleva a cabo un tratamiento de datos personales por encargo del responsable del tratamiento. Es decir, la diferencia entre responsable del tratamiento y encargado del tratamiento está en que mientras que el primero es quién decide el uso y la finalidad de los datos personales, el segundo debe seguir sus instrucciones respecto a dicho uso y finalidad.

Así y, como ya adelantamos, las obligaciones del encargado del tratamiento deben ser especificadas por el responsable del tratamiento a través de un acuerdo o contrato de encargado de tratamiento.

Para entenderlo mejor, veamos un par de ejemplos de responsable del tratamiento de datos y encargado del tratamiento.

Un colegio, que trata los datos de sus alumnos, tiene contratado el servicio de comedor, el responsable del tratamiento es el propio colegio, mientras que el encargado del tratamiento será el servicio de comedor. En este ejemplo, se tratan datos personales identificativos y relativos a la salud (como alergias e intolerancias alimentarias) de los alumnos. El colegio como responsable encarga al servicio de comedor que trate estos datos para determinar los menús.

En el segundo ejemplo, tenemos una empresa que trata los datos personales de sus empleados y que tiene contratado un servicio de prevención y vigilancia de la salud, que todos los años se encarga de llevar a cabo los reconocimientos médicos de la plantilla. Aquí, la empresa, como responsable del tratamiento, encarga al servicio de prevención y vigilancia de la salud el tratamiento de datos identificativos y relativos a la salud de sus empleados.

El contrato de encargo del tratamiento

Como decíamos, el contrato de encargo del tratamiento debe recoger el tipo de datos personales y las categorías de interesados, la duración y finalidad del tratamiento y las obligaciones para el encargado del tratamiento.

Así mismo debe dejar claro:

  • Cuáles son los tratamientos de datos a realizar por parte del encargado del tratamiento
  • El respeto de la confidencialidad de los datos
  • La obligación del encargado de adoptar las medidas de seguridad necesarias para garantizar el cumplimiento de la normativa
  • La obligación de asistir al responsable ante las solicitudes de ejercicio de los derechos de los interesados (acceso, rectificación, supresión, limitación del tratamiento, portabilidad de datos y oposición)
  • Colaborar en la notificación de brechas de seguridad
  • Determinar el destino final tras finalizar el contrato (supresión o devolución)

Podéis descargar este modelo de contrato de encargado del tratamiento RGPD como ejemplo o guía para elaborar los vuestros.

En resumen, el responsable del tratamiento es quien tiene la mayor responsabilidad en lo que a protección de datos personales se refiere, es quien decide la finalidad y uso de los datos, siempre desde la legitimación del tratamiento y el respeto por la normativa. Así mismo, es quien debe establecer las medidas técnicas y organizativas que garanticen la seguridad, privacidad y confidencialidad de los datos y quien tendrá que demostrar el cumplimiento de la ley ante las autoridades de control competentes.

¿Necesitas ayuda?

¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.

Escribe aquí tu comentario

Deja un comentario

Este sitio está protegido por reCAPTCHA y se aplican la política de privacidad y los términos de servicio de Google.

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.