Cuando nos adentramos en el estudio de la protección de datos de carácter personal, aparecen dos tipos de sujetos obligados:
El Responsable del Tratamiento: Puede ser responsable una persona física o jurídica, autoridad pública, servicio u otro organismo que determine los fines o medios del tratamiento, es decir, los que se encargan de formular las directrices en cuanto al tratamiento de dichos datos.
Por lo tanto, el responsable del tratamiento de los datos tiene la potestad de decidir:
- Para qué se van a utilizar los datos
- Qué tratamientos se van a realizar con los datos
Además, cabe destacar que puede haber dos sujetos responsables, y por tanto en aquellas circunstancias aparece la figura de los corresponsables que se da cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento. Por poner un ejemplo, en el supuesto de que dos empresas compartan un fichero para realizar acciones promocionales de un determinado producto o servicio, y que ambas entidades tomen decisiones sobre el mismo.
Los corresponsables tienen la obligación de determinar de un modo transparente y de mutuo acuerdo sus responsabilidades respectivas en cuanto al cumplimiento de las obligaciones descritas en el Reglamento General de Protección de Datos (Reglamento UE 216/679).
Una cuestión que surge mucho en la práctica jurídica es si la figura del responsable del tratamiento debe de realizar materialmente el tratamiento de los datos. La respuesta a esa cuestión es que no es necesario ya que lo relevante es que decida sobre el mismo. Por poner un ejemplo, una empresa de seguros contrata a una agencia de publicidad para que le diseñe la campaña de marketing a través de redes sociales y del teléfono móvil; En este caso la agencia es la que se encarga del tratamiento de los datos, mientras la Empresa de Seguros es a todas luces la responsable del tratamiento de dichos datos.
El Encargado del tratamiento: Se considera encargado del tratamiento tanto a una persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que se dedica a la trata de datos personales por cuenta del responsable del tratamiento (RGPD, art. 4.9), como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio. Esto quiere decir que el encargado no tiene capacidad para decidir sobre los datos que recoge, los tratamientos que realiza o la finalidad a la que los destina.
Además, el RGPD recalca que es el responsable el que debe elegir a los posibles encargados que vayan a actuar en el tratamiento de los datos, debiendo elegir únicamente al encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas de manera que el tratamiento de los datos garantice la protección de los derechos de la persona interesada y estén en conformidad con los requisitos recogidos en la normativa vigente.
En referencia a los aspectos básicos de la relación contractual entre el responsable y el encargado, ello viene recogido en el artículo 28 de la Ley Orgánica de Protección de Datos 3/2018 (LOPD), y en artículo 28.3 del RGPD, donde específicamente se recogen las obligaciones del responsable y del encargado del tratamiento; Es interesante resaltar que el acceso a los datos necesarios para la prestación del servicio por parte del encargado no será considerado comunicación de datos, lo que quiere decir que el encargado podrá acceder a los datos que posee el responsable del tratamiento sin necesidad de mediar el consentimiento de las personas físicas interesadas.
Como apunte final, cabe destacar que el encargado del tratamiento de los datos no puede contratar a un sub-encargado sin la autorización previa por escrito del responsable y además debe cerciorarse de emplear únicamente al personal que se haya comprometido a respetar la confidencialidad o esté sujeto a una obligación legal de confidencialidad (art. 28 LOPD).
Autor: Gerson Carrasco Zerpa
Esjusticiaquepido informa que las opiniones vertidas por los autores en sus artículos son propias y por tanto la responsabilidad que puedan ocasionar es competencia únicamente de los mismos.
Sin comentarios