Responsable y encargado del tratamiento - Conceptos básicos del RGPD

Los términos "responsable del tratamiento" y "encargado del tratamiento" son fundamentales en el RGPD. Quienquiera que sea responsable o encargado del tratamiento está sujeto a las obligaciones correspondientes en virtud del RGPD.

Pero, ¿cuándo se es exactamente controlador o procesador y cuáles son las consecuencias?

Responsable

La definición de responsable del tratamiento figura en el artículo 4 nº 7 del RGPD. En consecuencia, el responsable del tratamiento es toda persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determine los fines y medios del tratamiento de datos personales. Para ser responsable del tratamiento, no es necesario recoger o tratar los datos uno mismo, sino que basta con determinar los fines y los medios.

La ley puede determinar quién es responsable, pero por lo demás debe entenderse funcionalmente: Debe tenerse en cuenta hasta qué punto el actor en cuestión lleva a cabo acciones reales. 

Sin embargo, si en una empresa se toman decisiones sobre los fines y medios del tratamiento de datos, el responsable del tratamiento no es el empleado individual, sino la empresa en su conjunto. Si actúa una sola persona física (por ejemplo, el empleado), debe examinarse siempre si la acción es imputable a la propia persona o a la organización para la que trabaja (por ejemplo, la empresa).

El responsable del tratamiento es responsable en virtud del artículo 5 II del RGPD. Por lo tanto, es responsable de garantizar que se cumplan de forma demostrable los principios de protección de datos del artículo 5 I del RGPD.

En el caso de la corresponsabilidad se da una particularidad. De conformidad con el artículo 26 del RGPD, pueden existir responsables conjuntos si dos o más responsables determinan los fines y los medios del tratamiento. En este caso, es crucial que el tratamiento se realice realmente de forma conjunta. Este es el caso si se persiguen fines comunes y el tratamiento sólo es posible porque todos los responsables del tratamiento cooperan en él. En cuanto a la integración del botón "Me gusta" de Facebook en un sitio web, el TJCE ha afirmado que existe una responsabilidad conjunta del operador del sitio web y de Facebook. Sin embargo, del mismo modo, varios responsables del tratamiento pueden participar conjuntamente en una operación de tratamiento sin ser corresponsables. Este es el caso cuando existe un mero intercambio de datos sin fines ni medios comunes.

En la práctica, la responsabilidad conjunta puede existir especialmente cuando el tratamiento de una entidad no es posible o útil sin el tratamiento de la otra entidad.

Si existe responsabilidad conjunta, los responsables del tratamiento implicados deben determinar en un acuerdo de conformidad con el artículo 26 I del RGPD cuál de ellos asume qué obligaciones en virtud de la legislación sobre protección de datos, como las obligaciones de información. Este acuerdo debe ser transparente, es decir, mostrar las relaciones y funciones reales con respecto a los interesados. De conformidad con el artículo 26 III del RGPD, el interesado puede dirigirse a cualquiera de los responsables del tratamiento para hacer valer sus derechos.

Las empresas jurídicamente independientes deben considerarse siempre responsables del tratamiento de datos independientes, lo que es especialmente importante dentro de un grupo de empresas. No obstante, el considerando 48 del RGPD concede a los responsables del tratamiento de partes individuales de un grupo de empresas un interés legítimo en el intercambio de datos personales dentro del grupo de empresas.

Procesador

El encargado del tratamiento se define en el artículo 4 nº 8 del RGPD como cualquier persona física o jurídica, autoridad pública, agencia u otro organismo que trate datos personales por cuenta del responsable del tratamiento. Por lo tanto, debe ser alguien distinto del responsable del tratamiento y la persona debe actuar en nombre del responsable del tratamiento.

El procesador no es en sí mismo la persona responsable. Actúa únicamente siguiendo las instrucciones del controlador. El responsable del tratamiento sigue siendo responsable del cumplimiento de la normativa de protección de datos. Sin embargo, si el encargado del tratamiento hace caso omiso de sus instrucciones y determina él mismo los fines y medios del tratamiento, se le considera responsable del tratamiento (art. 28 X del RGPD).

Hay que medir caso por caso cuánto margen de maniobra puede seguir teniendo el procesador en el procesamiento a pesar de estar limitado por instrucciones. Si tienen demasiada responsabilidad personal, acaban convirtiéndose en el controlador.

En la práctica, existe un encargado del tratamiento cuando las actividades de apoyo técnico y los procedimientos de tratamiento de datos se subcontratan a proveedores de servicios externos. Casos típicos de tratamiento por encargo son, por ejemplo, la destrucción de archivos, el almacenamiento de datos por servicios en la nube o el tratamiento de datos en centros de llamadas.

Si los datos personales se revelan al encargado del tratamiento en el curso de su misión, éste es al mismo tiempo un destinatario de conformidad con el art. 4 nº 9 DSGVO.