Responsable y encargado del tratamiento - Conceptos básicos del RGPD

Los términos "responsable del tratamiento" y "encargado del tratamiento" son fundamentales en el RGPD. Quienquiera que sea responsable o encargado del tratamiento está sujeto a las obligaciones correspondientes en virtud del RGPD.

Pero, ¿cuándo se es exactamente controlador o procesador y cuáles son las consecuencias?

Responsable

La definición de responsable del tratamiento se encuentra en el artículo 4 nº 7 del RGPD. En consecuencia, el responsable del tratamiento es toda persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determine los fines y medios del tratamiento de datos personales. Tratamiento de datos personales decide. Para ser responsable del tratamiento, no es necesario que usted mismo recoja o trate los datos, sino que basta con que determine los fines y los medios.

La ley puede determinar quién es responsable, pero por lo demás debe entenderse funcionalmente: Debe tenerse en cuenta hasta qué punto el actor en cuestión lleva a cabo acciones reales. 

Sin embargo, si en una empresa se toman decisiones sobre los fines y medios del tratamiento de datos, el responsable del tratamiento no es el empleado individual, sino la empresa en su conjunto. Si actúa una sola persona física (por ejemplo, el empleado), debe examinarse siempre si la acción es imputable a la propia persona o a la organización para la que trabaja (por ejemplo, la empresa).

El responsable del tratamiento es responsable en virtud del artículo 5 II del RGPD. Por lo tanto, es responsable de garantizar que se cumplan de forma demostrable los principios de protección de datos del artículo 5 I del RGPD.

En el caso de la corresponsabilidad se da una particularidad. De conformidad con el artículo 26 del RGPD, pueden existir responsables conjuntos si dos o más responsables determinan los fines y los medios del tratamiento. En este caso, es crucial que el tratamiento se realice realmente de forma conjunta. Este es el caso si se persiguen fines comunes y el tratamiento sólo es posible porque todos los responsables del tratamiento cooperan en él. En cuanto a la integración del botón "Me gusta" de Facebook en un sitio web, el TJCE ha afirmado que existe una responsabilidad conjunta del operador del sitio web y de Facebook. Sin embargo, del mismo modo, varios responsables del tratamiento pueden participar conjuntamente en una operación de tratamiento sin ser corresponsables. Este es el caso cuando existe un mero intercambio de datos sin fines ni medios comunes.

En la práctica, la responsabilidad conjunta puede existir especialmente cuando el tratamiento de una entidad no es posible o útil sin el tratamiento de la otra entidad.

Si existe responsabilidad conjunta, los responsables del tratamiento implicados deben determinar en un acuerdo de conformidad con el artículo 26 I del RGPD cuál de ellos asume qué obligaciones en virtud de la legislación sobre protección de datos, como las obligaciones de información. Este acuerdo debe ser transparente, es decir, mostrar las relaciones y funciones reales con respecto a los interesados. De conformidad con el artículo 26 III del RGPD, el interesado puede dirigirse a cualquiera de los responsables del tratamiento para hacer valer sus derechos.

Las empresas jurídicamente independientes deben considerarse siempre responsables del tratamiento separados, lo que es especialmente importante dentro de un grupo de empresas. Sin embargo, los responsables de partes individuales de un grupo de empresas no están protegidos por el considerando 48 del RGPD. DSGVO tiene un interés legítimo en el intercambio de datos personales dentro del Grupo.

Procesador

El encargado del tratamiento se define en el artículo 4 nº 8 del RGPD como cualquier persona física o jurídica, autoridad pública, agencia u otro organismo que datos personales por cuenta del responsable del tratamiento procesado. Por lo tanto, debe ser una persona distinta del responsable del tratamiento y debe actuar por cuenta de éste.

El procesador no es en sí mismo el controlador. Actúa únicamente siguiendo instrucciones del responsable del tratamiento. Para el cumplimiento de la normativa sobre protección de datos el responsable del tratamiento sigue siendo el responsable del tratamiento. No obstante, si el encargado del tratamiento hace caso omiso de su mandato y determina por sí mismo los fines y medios del tratamiento, se considerará responsable del tratamiento a este respecto (art. 28 X del RGPD).

Hay que medir caso por caso cuánto margen de maniobra puede seguir teniendo el procesador en el procesamiento a pesar de estar limitado por instrucciones. Si tienen demasiada responsabilidad personal, acaban convirtiéndose en el controlador.

En la práctica, existe un encargado del tratamiento cuando las actividades de apoyo técnico y los procedimientos de tratamiento de datos se subcontratan a proveedores de servicios externos. Casos típicos de tratamiento por encargo son, por ejemplo, la destrucción de archivos, el almacenamiento de datos por servicios en la nube o el tratamiento de datos en centros de llamadas.

Si el procesador está encargado de realizar datos personales divulgada, también es el destinatario de conformidad con el art. 4 n.º 9 del GDPR.