En materia de protección de datos, a menudo hablamos del Responsable y del Encargado de Tratamiento presuponiendo que se entiende la diferencia entre ambas figuras, pero no tiene por qué ser así. La normativa establece una serie de obligaciones para cada uno y explica sus diferencias, pero lo hace con un lenguaje jurídico de difícil comprensión si no se está versado en la materia. Por ello, en el artículo de hoy vamos a explicar y aclarar sus funciones, y cómo debe ser la relación entre el Responsable y el Encargado.

El Responsable del Tratamiento

En esta materia, el Responsable es la persona física o jurídica, autoridad pública, servicio u otro organismo que en el ejercicio de su actividad trata datos de carácter personal. Por ejemplo: Tu Empresa, S.L.

Es quien determina los fines (por qué deben tratarse los datos) y los medios (cómo deben tratarse) relacionados con el tratamiento de los datos personales. Los empleados que realizan el tratamiento de los datos personales en la empresa lo hacen en cumplimiento de las funciones que el Responsable de Tratamiento ejerce.

El Responsable además, puede ser corresponsable del tratamiento cuando ejerce sus funciones junto con una o más organizaciones. Para ello, los corresponsables deben establecer un acuerdo en el que se recojan sus respectivas responsabilidades de cumplimiento con la normativa de protección de datos. Los principales aspectos de este acuerdo deberán comunicarse a las personas sobre cuyos datos se realice el tratamiento.

Obligaciones

El Responsable del tratamiento de datos debe asegurarse de cumplir con las obligaciones que le imponen el RGPD y la LOPD-GDD. Entre ellas:

  • Atender las solicitudes de ejercicio de derechos de los interesados: Derecho de acceso, rectificación, supresión u olvido, limitación, oposición, portabilidad y a retirar el consentimiento prestado
  • Obtener el consentimiento explícito de los individuos para tratar sus datos personales y conservar los documentos que acrediten este consentimiento. Sin embargo, esto no siempre es necesario ya que a veces se tratan datos en base a una obligación legal, un interés legítimo, la ejecución de un contrato, etc.
  • Comunicar a la AEPD todas las violaciones de seguridad que sufra en un plazo no superior a 72 horas.
  • Realizar una EIPD o nombrar a un DPD siempre que sea necesario.

Por último, se espera de un Responsable que exija a los Encargados con los que trabaje, que cumplan y acrediten su cumplimiento del RGPD y la LOPD-GDD, decidiéndose por trabajar solo con aquellos Encargados que tengan las medidas técnicas y organizativas apropiadas para cumplir con las pautas establecidas en la normativa.

¿Y si no cumple?

El Responsable del tratamiento está sujeto a diversas sanciones en caso de no cumplir con lo que establece la normativa.

El régimen sancionador depende entre otros factores de la naturaleza, gravedad y duración de la infracción, así como del número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido.

La cuantía de las sanciones puede llegar hasta los 20 millones de euros o un 4% del volumen de negocio en el ejercicio del año anterior. Tienes toda la información aquí

 

El Encargado del Tratamiento

Es la persona física o jurídica, autoridad pública, servicio u otro organismo que en el ejercicio de su actividad trata datos de carácter personal que son responsabilidad del Responsable del Tratamiento. Por ejemplo: Asesoría Laboral, S.L. (Empresa que se encarga del gestionar las altas y bajas del personal de Tu Empresa, S.L.)

El Encargado del Tratamiento suele ser un tercero externo a la empresa, y trata los datos personales únicamente por cuenta del Responsable. Debe cumplir con las instrucciones que le de el Responsable y en ningún caso puede variar las finalidades y los usos de los datos que le ceda, ni los puede utilizar para sus propios fines.

Las obligaciones del Encargado del tratamiento con respecto al Responsable deberán especificarse en un contrato u otro acto jurídico que debe contener:

1.- Instrucciones del Responsable del Tratamiento

Se debe documentar de forma precisa las instrucciones respecto del encargo realizado. Además, es necesario identificar de forma clara y concreta cuáles son los tratamientos de datos a realizar por el Encargado del tratamiento, atendiendo al tipo de servicio prestado y a la forma de prestarlo. Si se producen transferencias internacionales de datos como consecuencia de la prestación del servicio, deberá informar al Responsable antes de llevar a cabo el tratamiento.

2.- Deber de confidencialidad

El cumplimiento de esta obligación debe quedar documentado y a disposición del Responsable del tratamiento.

3.- Medidas de seguridad

El acuerdo debe establecer la obligación del Encargado de adoptar todas las medidas de seguridad necesarias, de conformidad con lo establecido en el artículo 32 del RGPD. El Responsable y el Encargado del tratamiento establecerán las medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado al riesgo existente, pudiendo incluir:

a) La seudoanimización y el cifrado de datos personales

b) La capacidad de garantizar la confidencialidad de los sistemas y servicios de tratamiento

c) La capacidad de restaurar el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico

d) Un proceso de verificación y valoración regular de la eficacia de las medidas para garantizar la seguridad del tratamiento.

4.- Subcontratación

El RGPD exige la autorización previa por escrito del Responsable del tratamiento para que el Encargado del tratamiento pueda recurrir a otro Encargado (subencargado) para desarrollar el servicio encomendado, cuando esto conlleve el tratamiento de los datos personales por parte de un tercero. Esta autorización puede ser específica (identificándose concretamente la identidad de ese tercero) o general (autorizando la subcontratación, pero sin concretar a quién). En el supuesto que la autorización sea de carácter general, el Encargado informará al Responsable de la incorporación de un subencargado dando al Responsable la oportunidad de oponerse a este cambio.

El subencargado estará sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y en la misma forma (acuerdo por escrito o acto jurídico vinculante) que el Encargado del tratamiento en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En caso de incumplimiento por el subencargado, el Encargado inicial seguirá siendo responsable ante el Responsable del tratamiento.

5.- Colaboración en el cumplimiento de las obligaciones del Responsable

Se debe establecer la forma en que el Encargado ayudará al Responsable a garantizar el cumplimiento de sus obligaciones, tanto en el ejercimiento de los derechos de los interesados, como cualquier otra. Esta colaboración queda supeditada a la naturaleza del tratamiento realizado y a la información que esté a disposición del Encargado. El Responsable puede incluso delegar en el Encargado el cumplimiento de sus obligaciones.

6.- Fin de la prestación

Una vez finalice la prestación de los servicios, el Encargado del tratamiento debe proceder a la supresión o a la devolución de los datos personales tratados. El Encargado solo puede conservar una copia con los datos bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.

 

Desde ExpertosLOPD® esperamos que te haya quedado más clara la diferenciación de ambas figuras, y te recordamos que estamos a tu disposición para ayudarte a implementar la protección de datos en tu empresa. ¡Contáctanos y te enviaremos presupuesto!