You are currently viewing ACTUALIZA TU NEGOCIO AL RGPD (II): ENCARGADOS Y RESPONSABLES DE TRATAMIENTO DE DATOS

ACTUALIZA TU NEGOCIO AL RGPD (II): ENCARGADOS Y RESPONSABLES DE TRATAMIENTO DE DATOS

A fin de adaptar nuestro negocio al Reglamento General de Protección de Datos (RGPD), debe quedar claro que no es suficiente con cumplir los principios generales expuestos en nuestro artículo anterior, sino que hay elementos que debemos tener en cuenta, como qué tipo de datos vamos a tratar, cómo los vamos a tratar, y quién los va a tratar.
En este artículo, nos centraremos en dos figuras básicas del tratamiento de datos, el responsable del tratamiento de datos y el encargado de tal tratamiento, cuya distinción es fundamental si pretendemos que nuestra adaptación al RGPD sea verdaderamente eficaz.

EL RESPONSABLE Y EL ENCARGADO DEL TRATAMIENTO. DEFINICIÓN

1.- Responsable del tratamiento de datos personales:
Según el art. 4.7 del RGPD, el responsable del tratamiento de datos personales es aquella persona física o jurídica, que determina los fines y los medios del tratamiento; es todo aquel que decide el “por qué” y el “cómo” deberán tratarse los datos personales. Es decir, el responsable del tratamiento de datos es generalmente el propio empresario, pues es quien decide el fin u objetivos del tratamiento de datos personales que pasa por sus manos. Por ejemplo, para qué necesitamos la dirección de correo electrónico recabada de nuestros clientes, o que acciones se realizarán al respecto en base a tales datos.
Dispone el artículo 26 RGPD la posibilidad de que sea más de una persona la responsable del tratamiento de datos personales, en tal caso hablamos de corresponsables del tratamiento de datos personales.

2.- Encargado del tratamiento de datos personales:
Por el contrario, el encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento. (art.4.8 RGPD). Por ejemplo, un encargado del tratamiento puede ser un gestor, un asesor externo o una agencia de marketing que reciben datos de nuestros clientes y pueden hacer un uso directo de los mismos, siempre bajo nuestras instrucciones.
En la práctica, la distinción entre responsable y encargado de tratamiento de datos personales puede no resultar sencilla, por lo que debemos analizar, caso por caso, cuándo se trata de una persona que decide sobre el uso que se da a los datos (responsable) o bien si el sujeto únicamente cumple instrucciones (encargado). Distinción que es fundamental, puesto que de cada uno se derivan una serie de obligaciones que deben cumplirse.

¿CÚALES SON LAS OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO DE DATOS PERSONALES?

Los artículos 24 y siguientes del RGPD establecen las obligaciones del responsable del tratamiento de datos personales:
· Aplicación de medidas técnicas y organizativas apropiadas de adaptación del tratamiento de datos personales.
· Aplicación de las oportunas políticas de protección de datos.
· Garantizar que solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento de los mismos – cantidad, extensión, plazo de conservación y accesibilidad.
Para el supuesto de existir corresponsables en el tratamiento de datos personales, estos deberán determinar el modo de cumplimiento efectivo de las obligaciones impuestas por el RGPD. Tal reparto de obligaciones deberá constar de manera sencilla y ser puesta a los posibles interesados de manera transparente.

¿CUÁLES SON LAS OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO DE DATOS PERSONALES?

El responsable del tratamiento está obligado a elegir a un encargado que ofrezca las garantías suficientes para aplicar las medidas que prevé el Reglamento. La relación entre ellos se rige por un contrato que vincula al encargado con el responsable y que debe establecer el objeto, la duración, la naturaleza y la finalidad del tratamiento. También deberán constar el tipo de los datos personales que se tratarán, y las obligaciones y derechos del responsable (arts. 28.1 y art. 28.3 RGPD).
El encargado está sujeto a una serie de obligaciones reguladas en el propio RGPD (art. 28.3). En concreto:

  • Tratamiento de los datos personales únicamente siguiendo las instrucciones del responsable
  • Garantía de que las personas autorizadas tratarán los datos de forma confidencial.-    Asunción de las medidas de seguridad que resulten necesarias
  • Sometimiento a autorización por parte del responsable antes de recurrir a otro encargado
  • Asistencia al responsable en el tratamiento de los datos personales
  • Ayuda al cumplimiento de las obligaciones del RGPD
  • Supresión o devolución de los datos, a elección del responsable, una vez finalizada la relación
  • Poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones a las que se encuentra sometido

En el supuesto de que un encargado de tratamiento de datos personales infrinja el RGPD, será considerado directamente como responsable del tratamiento con respecto a dicho tratamiento.

Sonia Hernández Porcar y David Cirera Mora.

Som-hi