TABLA DE CONTENIDOS
- ¿Qué es el Responsable de Tratamiento?
- ¿Qué es el Encargado de Tratamiento?
- ¿Cuáles son las diferencias entre el responsable y el encargado de tratamiento?
Es normal que, cuando hablamos de la terminología referente al Reglamento General de Protección de Datos (RGPD) de la Unión Europea, nos asalten dudas, hasta donde llega la responsabilidad de uno y de otro, por eso, desde Laworatory tenemos que hacer diferencia entre estas dos figuras fundamentales para la protección de los datos personales: el responsable del tratamiento y el encargado del tratamiento.
Para ello, primero definiremos qué es el Responsable y qué es el Encargado de Tratamiento.
¿Qué es el Responsable de Tratamiento?
El responsable del tratamiento es quien decide qué datos se recopilan, cómo se utilizan y con qué fines se procesan. El Reglamento General de Protección de Datos indica en su artículo 4 el concepto de responsable del tratamiento «la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y los medios del tratamiento».
Indicar, que existe la figura del corresponsable, esta denominación nace cuando, junto con una o más organizaciones, se determine conjuntamente el porqué y cómo deberán tratarse los datos personales.
Los principios de protección de datos personales que el responsable del tratamiento debe cumplir se encuentran recogidos en el artículo 5 de la RGPD, siendo:
Licitud, lealtad y transparencia: el tratamiento de los datos personales debe ser lícito, justo y transparente para la persona a la que se refieren.
Limitación de la finalidad: los datos personales deben recogerse con fines determinados, explícitos y legítimos, y no podrán tratarse ulteriormente de manera incompatible con esos fines.
Minimización de datos: los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
Exactitud: los datos personales deben ser exactos y, si fuera necesario, actualizados.
Limitación del almacenamiento: los datos personales no deben conservarse durante más tiempo del necesario para los fines para los que son tratados.
Integridad y confidencialidad: los datos personales deben tratarse de manera que se garantice su seguridad, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante medidas técnicas u organizativas apropiadas.
Además, en el RGPD se establece en su artículo 24 que el responsable del tratamiento será el encargado de garantizar el cumplimiento del Reglamento, debiendo adoptar todas las medidas técnicas y organizativas adecuadas para garantizar la protección de los derechos fundamentales de las personas a las que se refieren los datos personales. El responsable del tratamiento también deberá ser capaz de demostrar el cumplimiento de estas medidas en caso de ser requerido.
¿Qué es el Encargado de Tratamiento?
Y por otro lado, tenemos al encargado del tratamiento, que es la persona física o jurídica, autoridad pública, agencia u otro organismo que procesa datos personales en nombre del responsable del tratamiento. El encargado del tratamiento actúa bajo las instrucciones del responsable del tratamiento y está obligado a seguir sus directrices.
El Reglamento General de Protección de Datos establece en su artículo 4 el concepto de encargado del tratamiento. Según el RGPD, el encargado del tratamiento es «la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento».
El artículo 28 del RGPD establece las obligaciones que deben cumplir los encargados del tratamiento, que son las siguientes:
Tratamiento por cuenta del responsable: el encargado del tratamiento solo podrá tratar los datos personales por cuenta del responsable y siguiendo sus instrucciones.
Medidas de seguridad: el encargado del tratamiento deberá adoptar medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos personales.
Confidencialidad: el encargado del tratamiento deberá garantizar la confidencialidad de los datos personales y asegurarse de que las personas autorizadas para tratar los datos se comprometan a respetar la confidencialidad.
Asistencia al responsable del tratamiento: el encargado del tratamiento deberá prestar al responsable del tratamiento la asistencia necesaria para garantizar el cumplimiento de sus obligaciones en materia de protección de datos.
Eliminación o devolución de los datos: una vez finalizado el tratamiento, el encargado del tratamiento deberá eliminar o devolver los datos personales al responsable, a menos que esté obligado por la ley a conservarlos.
Registro de actividades de tratamiento: el encargado del tratamiento deberá llevar un registro de todas las actividades de tratamiento que lleve a cabo por cuenta del responsable.
Además, el RGPD establece en su artículo 28 que el responsable del tratamiento deberá celebrar un contrato con el encargado del tratamiento que establezca claramente las obligaciones del encargado del tratamiento y que garantice la protección de los datos personales. El contrato deberá contener una serie de elementos que se detallan en el propio artículo 28 del RGPD.
¿Cuáles son las diferencias entre el responsable y el encargado de tratamiento?
La principal diferencia entre el responsable y el encargado del tratamiento es que el primero es el que toma las decisiones sobre cómo y para qué se procesan los datos personales, mientras que el segundo actúa como un subcontratista que realiza el procesamiento de datos de acuerdo con las directrices del responsable del tratamiento.
Además, el Responsable del Tratamiento es el único encargado de garantizar la conformidad con el RGPD. Esto quiere decir, que el Responsable de Tratamiento debe supervisar al Encargado de Tratamiento, desde Laworatory os enumeramos cuáles deben ser las medidas que debe llevar a cabo un Responsable de Tratamiento:
Elaborar un contrato de encargado de tratamiento: Estás obligado, el RGPD exige que el responsable del tratamiento celebre un contrato con el encargado de tratamiento que establezca claramente las obligaciones del encargado en relación con la protección de datos personales. Este contrato deberá incluir las medidas técnicas y organizativas que el encargado de tratamiento debe adoptar para garantizar la seguridad de los datos personales.
- Establecer indicadores clave de rendimiento (KPI): como cualquier cosa medible, el responsable del tratamiento puede establecer KPI que midan el rendimiento del encargado de tratamiento en la protección de los datos personales, y monitorear regularmente el cumplimiento de estos KPI.
Realizar auditorías: el responsable del tratamiento puede realizar auditorías periódicas para evaluar el cumplimiento del encargado de tratamiento con el contrato de encargado de tratamiento.
Solicitar informes regulares: el responsable del tratamiento puede solicitar informes regulares al encargado de tratamiento sobre sus actividades de tratamiento de datos personales, incluyendo cualquier incidente de seguridad de datos y las medidas tomadas para mitigar esos incidentes.
Designar un delegado de protección de datos (DPO): el responsable del tratamiento puede designar un DPO que supervise la protección de datos personales en la organización y que también supervise el cumplimiento del encargado de tratamiento con las obligaciones establecidas en el RGPD