El responsable y encargado del tratamiento de datos tienen diferentes funciones y obligaciones. A continuación explicaremos en qué consiste cada figura y sus implicaciones. Es fundamental entender quiénes cumplen estos roles, para saber a quién se aplica el RGPD (Reglamento General de Protección de Datos) y cómo cumplir la normativa para evitar sanciones.
¿Qué es un responsable del tratamiento de datos?
El responsable del tratamiento de datos o, en inglés data controller, es la entidad que decide por qué y cómo se procesan los datos personales. En otras palabras, determina los fines y los medios del tratamiento. El responsable no necesariamente ejecuta el procesamiento de los datos, pero es quien toma las decisiones clave sobre el uso de la información personal.
Responsabilidades principales
El responsable del tratamiento de datos tiene dos finalidades clave:
- Definir la finalidad del tratamiento de datos personales
- Decidir la forma en que se procesarán los datos
El responsable puede ser una empresa, una autoridad pública, una agencia u otro organismo, tratándose siempre de una persona jurídica.
También cabe mencionar la figura del corresponsable del tratamiento, que se recoge con detalle en la página web del Comité Europeo de Protección de Datos (EDPB), junto con el resto de funciones. En este caso se trata de los distintos responsables, cuando hay más de uno, incluso si su distribución de responsabilidades es desigual.
¿Qué es un encargado del tratamiento de datos?
El encargado del tratamiento de datos, o data processor, es la persona jurídica que procesa los datos personales en nombre del responsable. En su caso, no toma decisiones sobre los fines del tratamiento, sino que se limita a ejecutar el procesamiento siguiendo las instrucciones del responsable. Aunque el encargado no controla los fines del tratamiento, debe implementar medidas de seguridad y protección de datos para evitar accesos no autorizados.
Por ejemplo, si una empresa contrata a un proveedor de servicios en la nube para almacenar sus datos de clientes, este proveedor sería el encargado del tratamiento en este caso, ya que solo procesa los datos según las indicaciones de la empresa contratante.
Otra figura es la del subencargado del tratamiento, que como su propio nombre indica, actúa siguiendo las indicaciones del encargado. Es importante tener en cuenta que un subencargado solo puede ser nombrado si lo autoriza por escrito el responsable del tratamiento (o el corresponsable, en su caso).
Diferencias clave entre responsable y encargado del tratamiento de datos
Las principales diferencias entre el responsable y el encargado del tratamiento radican en sus funciones y ámbitos de control. El responsable es quien decide para qué y cómo se procesan los datos. El encargado solo se limita a ejecutar esas decisiones. Por otro lado, el responsable tiene un control completo sobre el tratamiento de datos. El encargado, en cambio, se ajusta a las instrucciones y no puede decidir el uso de los datos.
Por ejemplo, una agencia de marketing que usa datos de clientes es responsable del tratamiento. Sin embargo, si contrata a un profesional freelance para gestionar campañas publicitarias de las cuentas que lleva, este autónomo actuará como encargado del tratamiento de datos.
Obligaciones legales del responsable y encargado según el RGPD
El responsable debe asegurarse de que tiene una base legal para procesar los datos personales, de que protege los datos y también los derechos de los interesados. Además, en ciertos casos, como el uso de tecnologías de alto riesgo, debe realizar una evaluación de impacto para mitigar riesgos.
Esta es la lista de verificación que recoge el Comité Europeo de Protección de Datos (CEPD) sobre las responsabilidades del RT:
- Respetar los principios de protección de datos establecidos en el artículo 5 del RGPD
- Proteger los derechos de las personas en relación con sus datos personales
- Mantener un registro detallado del tratamiento de datos
- Garantizar la seguridad del tratamiento
- Seleccionar a un encargado del tratamiento que cumpla con las garantías exigidas
- Establecer un contrato vinculante que defina claramente la relación entre el responsable y el encargado del tratamiento
- Notificar a la autoridad competente y, cuando sea necesario, a los afectados de cualquier violación de datos
- Ser responsable del tratamiento y aplicar medidas de protección de datos desde el diseño y por defecto
- Realizar evaluaciones de impacto cuando sea necesario
- Designar un delegado de protección de datos cuando las circunstancias lo requieran
- Cumplir con las normativas sobre transferencias internacionales de datos personales
- Colaborar activamente con las autoridades en la materia
La relación entre el responsable y el encargado está regulada por un contrato, donde se establecen las instrucciones y responsabilidades. Este contrato es obligatorio según el RGPD y especifica las condiciones en que se realiza el tratamiento.
El encargado solo puede procesar los datos personales siguiendo las indicaciones específicas del responsable, incluyendo transferencias a países fuera del EEE (Espacio Económico Europeo).
Además, el contrato debe incluir algunas obligaciones del encargado y cualquier subencargado:
- Confidencialidad sobre los datos
- Garantizar la seguridad
- Restringir la subcontratación
- Defender los derechos de los interesados
- Notificar sobre cualquier brecha de seguridad o incumplimiento
- Colaborar en auditorías o inspecciones
Se pueden ver todas las obligaciones con detalle en la página web de la EDPB, donde se explican punto por punto.
Las sanciones en caso de incumplimiento pueden ser severas y afectan tanto al responsable como al encargado. Las multas pueden alcanzar el 4% de la facturación anual global de la empresa infractora.
Ejemplos de casos prácticos
A continuación vamos a ver algunos ejemplos de situaciones reales donde se aplica la distinción entre responsable y encargado. Estos casos prácticos le servirán para poder detectar situaciones en que se podría encontrar, para asegurarse de cumplir con la normativa de protección de datos para empresas.
Una tienda online recopila datos personales de sus clientes, como nombres, direcciones de envío y detalles de pago para procesar sus pedidos. Sin embargo, para gestionar los envíos, la tienda contrata a una empresa de logística que accede a los nombres y direcciones de los clientes para realizar las entregas. Esta empresa actúa como el encargado del tratamiento.
Otro caso podría ser el de una empresa tecnológica que administra una aplicación de recursos humanos. En este escenario, la empresa es la responsable del tratamiento, ya que determina para qué se usan los datos y cómo se procesan. Por su parte, la empresa contratada para el almacenamiento en la nube será encargada del tratamiento.
Como se ve en estos ejemplos, en definitiva la diferencia se puede resumir los siguientes términos: mientras que el responsable decide el «qué» y el «por qué» del tratamiento de datos, el encargado implementa el «cómo» siguiendo las instrucciones recibidas.
Conclusión
Distinguir entre el responsable y el encargado del tratamiento de datos es fundamental para cumplir con el RGPD. Ambos roles desempeñan funciones cruciales y tienen obligaciones legales específicas. Asegúrese de comprender estas diferencias para implementar mejores prácticas y evitar sanciones.
Recuerde que la protección de los datos personales no solo es una obligación legal, sino también un compromiso con la confianza de sus clientes. Compruebe si su empresa cumple con la normativa de protección de datos y evite importantes multas con Usercentrics CMP. Este software RGPD le permite agregar un banner de consentimiento en su sitio web, entre otras funcionalidades. Hable con nuestro equipo de expertos y descubra cómo proteger su negocio mientras cumple con las leyes de privacidad.
–
Descargo de responsabilidad: Usercentrics no provee asesoría legal y la información provista tiene fines únicamente educativos. Siempre recomendamos recurrir a consultorías legales cualificadas o especialistas en privacidad en relación a las cuestiones y operaciones sobre privacidad y protección de datos.