Ante la pregunta de ¿Quién es un Responsable de Tratamiento? en la RGPD. LOPDGDD, el responsable del tratamiento es quién determina los fines y los medios relacionados con el tratamiento de los datos personales. De modo que, si decide «por qué» y «cómo» deberán tratarse los datos personales, usted es el responsable del tratamiento.
Los empleados que realizan el tratamiento de los datos personales en su organización lo hacen en cumplimiento de las funciones que usted ejerce como y quien es responsable del tratamiento.
Se trata de una noción amplia, viene definida desde los albores en el tiempo en el articulado de la Directiva 2006 así
Y como «cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción».
Por lo tanto, el concepto de « quién es el responsable del tratamiento» ya no se empleaba para un objeto estático («el fichero»), sino en relación con actividades que reflejaban el ciclo de vida de la información desde su recogida hasta su destrucción, y esto requería tanto un examen en detalle como de conjunto («operación o conjunto de operaciones»).
Aunque el resultado haya podido ser en muchos casos el mismo, al concepto se le confería así un significado y alcance mucho más amplios y dinámicos.
Otro papel muy relacionado al “Quien es el Responsable de Tratamiento” podrá acompañare el siguiente:
Usted será un corresponsable del tratamiento cuando, junto con una o más organizaciones, determine conjuntamente «por qué» y «cómo» deberán tratarse los datos personales.
Los corresponsables del tratamiento deben concertar un acuerdo en el que se establezcan sus respectivas responsabilidades de cumplimiento con las normas del Reglamento general de protección de datos y LOPDGDD. Los principales aspectos del acuerdo deberán comunicarse a las personas sobre cuyos datos se realice el tratamiento.
El encargado del tratamiento trata los datos personales únicamente por cuenta del responsable del tratamiento. El encargado del tratamiento de los datos suele ser un tercero externo a la empresa; sin embargo, en el caso de los grupos de empresas, una de ellas puede actuar como encargada del tratamiento para otra.
Las obligaciones del encargado del tratamiento con respecto al responsable del tratamiento deberán especificarse en un contrato u otro acto jurídico.
Por ejemplo, El contrato debe indicar lo que pasará con los datos personales una vez finalizado el contrato. Una actividad típica de los encargados es ofrecer soluciones informáticas, como almacenamiento en la nube. El encargado del tratamiento solo puede subcontratar una parte de esta tarea a otro encargado o designar un coencargado cuando haya recibido la autorización previa por escrito de quien sea el responsable del tratamiento.
Existen situaciones en las que una entidad puede ser responsable o encargado del tratamiento, o ambas cosas.
Ejemplos
Una cervecería que tiene muchos empleados firma un contrato con una empresa de nóminas, para poder pagarles los salarios.
La cervecería indica a la empresa de nóminas cuándo deben pagarse las nóminas, cuándo un empleado abandona la empresa o si tiene un aumento de sueldo, y proporciona toda la demás información sobre la nómina y el pago.
La empresa de nóminas proporciona el sistema informático y conserva los datos de los empleados. La cervecería es el responsable del tratamiento y la empresa de nóminas es el encargado del tratamiento.
Corresponsables del tratamiento
Una empresa presta servicios de guardería a través de una plataforma por internet. Al mismo tiempo, la empresa tiene un contrato con otra empresa que le permite ofrecer servicios de valor añadido.
Esos servicios incluyen la posibilidad de que los padres no solo elijan la canguro, sino también que alquilen juegos y DVD que esta puede traer.
Ambas empresas participan en los aspectos técnicos del sitio web. En este caso, las dos empresas han decidido utilizar la plataforma para ambos fines (servicios de guardería y alquiler de DVD o juegos) y a menudo compartirán los nombres de sus clientes.
Por tanto, ambas empresas son corresponsables del tratamiento, porque no solo están de acuerdo en ofrecer la posibilidad de «servicios combinados», sino que también diseñan y utilizan una plataforma común.
Referencias útiles
- Artículo 4, apartados 7 y 8, y artículos 24, 26, 28 y 29; considerandos 74, 79 y 81
- Grupo de trabajo del artículo 29, WP 169. Dictamen 1/2010 sobre los conceptos de responsable y encargado