LA FIGURA DEL RESPONSABLE DE TRATAMIENTO DE DATOS BAJO EL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS

 

¿Soy Responsable de Tratamiento o Encargado de Tratamiento? Son incontables las veces que nos llega esta pregunta.

 

En su momento, abordamos en este mismo blog el concepto del Encargado de tratamiento, por lo que hoy nos centraremos en la figura del Responsable de tratamiento de datos con relación a su regulación en el Reglamento General de Protección de Datos (en adelante, Responsable de tratamiento RGPD).

 

Es muy importante tener muy claro quién es quién cuando hablamos de tratamiento de datos, ya que cada una de las posturas tiene diferentes obligaciones y, en ocasiones, la diferencia entre unos y otros no queda clara, sin existir aún resoluciones judiciales ni pronunciamientos de la Agencia Española de Datos (AEPD) que arrojen algo de luz a esta cuestión.

 

 

 

1.- ¿QUIÉN ES RESPONSABLE DE TRATAMIENTO RGPD?

 

La normativa define al Responsable de tratamiento RGPD como la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.

 

De una manera un poco más amplia, podemos señalar que esta definición establece que podrá ser Responsable de tratamiento RGPD todo aquella empresa, organismo o individuo que trate datos de carácter personal bajo su nombre, es decir, que decida voluntariamente llevar a cabo un tratamiento de datos de carácter personal, recogidos en un fichero del que es titular y tomando decisiones sustanciales sobre cómo tratar los datos y los objetivos que ser persiguen con el mismo.

 

Tratando de ser un poco más esquemáticos, los elementos que tenemos que tener en cuenta para poder hablar de Responsable de tratamiento RGPD son:

 

  • Personalidad. Aunque parezca obvio, para poder hablar de Responsable de tratamiento RGPD tiene que haber una persona física o jurídica que trate los datos.

Debe tenerse en cuenta que ya el RGPD en su artículo 2.2.c) ya excluye de su ámbito de aplicación el tratamiento realizado por una persona física con fines estrictamente personales o domésticos. La lista de contactos que tenemos guardados en nuestro móvil personal, por tanto, no deberá ser entendida como tratamiento sujeto a las obligaciones del RGPD.

 

  • Datos personales sobre los que se lleve a cabo un tratamiento. Para que pueda caber un Responsable de tratamiento RGPD debe existir, lógicamente, unos datos que sea tratados. Debe tenerse claro que hay un número bastante considerable de verbos que pueden ser incardinados en el término “tratamiento”. El mero hecho de tener almacenados datos, aunque éstos no se observen ni traten de otro modo, ya constituye un tratamiento de datos, por ejemplo.

 

Para poder hablar de Responsable de tratamiento RGPD deberá ser titular de los referidos datos, ya que, si los datos no son suyos, no hablaríamos de Responsable de tratamiento RGPD, sino de Encargado de tratamiento.

Una duda frecuente es pensar que si los datos no se han captado sino que se han recibido de otra persona, esa persona es el Responsable de tratamiento RGPD y no uno mismo, ahí es donde tiene importancia el tercer elemento.

 

  • Decisiones significativas sobre el modo y los fines del tratamiento. Como establecíamos en el apartado anterior, aunque los datos no se hayan recabado por la persona en cuestión sino que los haya obtenido de un tercero, podemos seguir hablando de Responsable de tratamiento RGPD, si éste primero actúa decidiendo sobre los datos con total independencia de la persona que haya recabado o tratado los mismos.

 

 

2.- ¿QUÉ DIFERENCIA HAY ENTRE RESPONSABLE DE TRATAMIENTO RGPD Y ENCARGADO DE TRATAMIENTO?

 

 

Establecidas las pautas que hacen del Responsable de tratamiento RGPD lo que es, nos surge la duda de cuándo hablamos de Encargado de tratamiento.

 

Aunque ya nos referimos a esta figura en su momento, recordemos que el RGPD se refiere como Encargado de tratamiento a la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

 

Si acudimos a los puntos que deben cumplirse para hablar de Responsable de tratamiento RGPD, vemos que el primer elemento es idéntico, no obstante, los elementos segundo y tercero difieren, ya que el Encargado de tratamiento para serlo deberá actuar sobre datos que no son suyos, siguiendo las directrices y métodos que el Responsable de tratamiento RGPD determine.

Esto no quiere decir que en el momento en el que el Encargado de tratamiento tome alguna decisión sobre los cómo tratar los datos se convierte automáticamente en Responsable de tratamiento RGPD. El Encargado tendrá una capacidad de tomar decisiones no sustanciales en el desempeño de sus actividades, si bien deberá seguir el fin indicado por el Responsable.

 

El Responsable de Tratamiento RGPD

Una de las obligaciones del Responsable de Tratamiento es la de designar un Delegado de Protección de Datos cuando corresponda.

 

 

3.- ¿QUÉ OBLIGACIONES TIENE EL RESPONSABLE DE TRATAMIENTO RGPD?

 

  • Deber de informar a los interesados de conformidad con el artículo 13 RGPD.
  • Garantizar que el tratamiento se lleva a cabo sobre una base de licitud legítima.
  • Establecer medidas técnicas y organizativas suficientes para garantizar, en la medida de lo posible, la seguridad y confidencialidad de los datos utilizados en el tratamiento, adaptando dichas medidas a las necesidades del tratamiento efectuado.
  • Demostrar que el tratamiento en cuestión cumple con lo indicado en la normativa vigente, lo cual ha sido denominado por el Reglamento como “Responsabilidad proactiva” (“Accountability”, en inglés).
  • Aplicar los principios de la denominada “Privacidad desde el Diseño y por Defecto” (“Privacy by Design and by Default”, en inglés).
  • Elaborar Registros de Actividades de Tratamiento (RAT), que contengan toda la información relevante sobre los tratamientos de datos de carácter personal que lleva a cabo.
  • Establecer contratos por escrito con los Encargados de tratamiento, de tal forma que recojan los elementos indicados en la normativa.
  • Designar un Delegado de Protección de Datos, cuando corresponda.
  • Designar a un Representante ante la Unión, cuando ofrezcan bienes o servicios a interesados dentro de la Unión Europea, sin importar si a dichos interesados se les exige, a cambio, un pago o el control de su comportamiento.

 

 

4.- ¿QUÉ OCURRE SI EL RESPONSABLE DE TRATAMIENTO RGPD NO CUMPLE CON SUS OBLIGACIONES?

 

Para responder adecuadamente a la pregunta es necesario establecer diferenciar entre dos tipos de consecuencias:

  • Por un lado, está la pérdida reputacional que sufren los negocios y empresas cuando este tipo de noticias salen a la luz.
  • Por otro, las sanciones. La nueva normativa establece dos tipos de sanciones en función del grado de incumplimiento. Las posibles sanciones pueden ser:

 

  • De hasta 10.000.000 € o de hasta el 2% del volumen de negocio total del año anterior a la sanción.
  • De hasta 20.000.000 € o de hasta el 4% del volumen de negocio total del año anterior a la sanción.

 

En Grupo Adaptalia contamos con años de experiencia en consultoría de protección de datos. Si cree que estos requisitos pueden aplicarse a usted o su negocio, no dude en consultarnos para que podamos indicarle el mejor modo de proceder.