07 Oct Responsable y encargado del tratamiento de datos
Diferencias entre el responsable y encargado del tratamiento de datos
Las figuras de responsable y encargado del tratamiento de datos, son similares y pueden resultar confusas, por eso dedicamos esta noticia a aclarar los matices entre ambas:
¿Qué es un encargado del tratamiento y cuál es su función principal?
El encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que presta un servicio al responsable que conlleva el tratamiento de datos personales por cuenta de éste.
Los tipos de encargado del tratamiento y las formas en que se regulará su relación pueden ser tan variados como los tipos de servicios que puedan suponer acceso a datos personales.
Así, podemos encontrar servicios cuyo objeto principal es el tratamiento de datos personales (por ejemplo, una empresa o entidad pública que ofrece un servicio de alojamiento de información en sus servidores) y otros que tratan datos personales sólo como consecuencia de la actividad que presta por cuenta del responsable del tratamiento (por ejemplo el gestor de un servicio público municipal).
Pese a que la definición puede parecer clara, en la práctica se dan multitud de situaciones donde puede ser difícil deslindar cuándo estamos frente a un encargado o a un responsable del tratamiento. Para facilitar esta distinción, debemos tener en cuenta que corresponde al responsable decidir sobre la finalidad y los usos de la información, mientras que el encargado del tratamiento debe cumplir con las instrucciones de quien le encomienda un determinado servicio, respecto al correcto tratamiento de los datos personales a los que pueda tener acceso como consecuencia de la prestación de este servicio.
Cuando sea de aplicación el texto Refundido de la Ley de Contratos del Sector Público, aprobado por el Real Decreto Legislativo 3/2011, de 14 de noviembre, debe tenerse en cuenta que dicha ley prevé (disposición adicional 26ª) que, cuando la contratación implique el acceso del contratista a datos de carácter personal de cuyo tratamiento sea responsable la entidad contratante, el contratista tendrá la consideración de encargado del tratamiento. En estos casos también será de aplicación el régimen establecido en el RGPD.
¿Qué tratamientos puede llevar a cabo un encargado sobre los datos
que le han sido encomendados?
El encargado puede realizar todos los tratamientos, automatizados o no, que el responsable del tratamiento le haya encomendado formalmente. La definición de tratamiento nos permite concretarlos atendiendo al ciclo de vida de la información: recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
En todo caso, deben quedar claramente delimitados en el acuerdo que se adopte.
¿Qué nivel de decisión puede asumir un encargado del tratamiento?
El encargado del tratamiento puede adoptar todas las decisiones organizativas y operacionales necesarias para la prestación del servicio que tenga contratado. En ningún caso puede variar las finalidades y los usos de los datos ni los puede utilizar para sus propias finalidades.
Las decisiones que adopte deben respetar en todo caso las instrucciones dadas por el responsable del tratamiento.
¿Puede el responsable del tratamiento elegir cualquier encargado del tratamiento?
El responsable del tratamiento debe elegir un encargado del tratamiento que ofrezca garantías suficientes respecto a la implantación y el mantenimiento de las medidas técnicas y organizativas apropiadas, de acuerdo con lo establecido en el RGPD, y que garantice la protección de los derechos de las personas afectadas. Existe, por tanto, un deber de diligencia en la elección del responsable.
¿Si se externaliza las funciones del delegado de protección de datos a un tercero, éste tiene la consideración de encargado del tratamiento?
Sí, el RGPD prevé que el delegado de protección de datos debe poder acceder a los datos que se traten. Por tanto, deberá formalizarse un encargo del tratamiento.
Consulta tu caso acudiendo a un abogado experto en Compliance penal y protección de datos. Damos cursos de formación a empresas y Pymes que permite y garantiza conocer a fondo en qué consiste la regulación penal de la empresa, su previsión normativa y cómo defenderte ante las injerencias de la administración o de los juzgados de instrucción o juzgado de lo penal.
Consulta otras noticias jurídicas en Lucas franco abogados.