28/11/2021
Diccionario jurídico: responsable, corresponsable y encargado del tratamiento

¿Qué es un responsable, un corresponsable y un encargado del tratamiento de datos personales?

1.- Introducción

Se considera responsable del tratamiento de datos personales aquella persona física o jurídica que lleva a cabo un tratamiento de datos de personales según los fines y medios que haya decidido, y lo hace en su nombre, por su propia cuenta y bajo su responsabilidad.

Por su parte, en contraposición al responsable, se considera encargado del tratamiento de datos personales a aquella persona física o jurídica que realiza el tratamiento de datos personales bajo la responsabilidad y por cuenta de un responsable del tratamiento. En consecuencia, lo hace siguiendo las instrucciones, los fines y medios marcados por el responsable.

Es corresponsable del tratamiento de datos personales es aquel responsable que lleva a cabo la actividad descrita de forma conjunta con otro responsable, de forma que han llegado a un acuerdo sobre los fines y medios que se utilizan para llevar a cabo el tratamiento.

El Reglamento General de Protección de Datos (en adelante, RGPD) define las dos primeras figuras en el artículo 4, dedicado a las definiciones. Hace referencia al corresponsable del tratamiento dentro de la propia definición de responsable del tratamiento, cuando dice que este puede realizar el tratamiento por si solo o de forma conjunta. De esta forma, las tres figuras quedan expresamente reconocidas en el RGPD.

El Reglamento General de Protección de datos reconoce, en relación con las actividades del tratamiento, tres figuras: el responsable, el corresponsable y el encargado del tratamiento.

2.- Regulación del responsable, corresponsable y encargado del tratamiento

Las figuras del responsable, corresponsable y encargado del tratamiento encuentran su regulación en los artículos 4, 24, 26, 28 y 29 del RGPD.

Por su parte, la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) los dedica los artículos 28 a 30 y 33.

3.- Obligaciones del responsable del tratamiento

El RGPD prevé las siguientes obligaciones del responsable del tratamiento:

  1. Cumplir con los principios del tratamiento enumerados en el artículo 5 del RGPD: licitud, transparencia y lealtad, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo de conservación, integridad y confidencialidad de los datos.
  2. Cumplir con el principio de responsabilidad proactiva, que implica el cumplimiento de las normas en materia de protección de datos y la posibilidad de demostrar dicho cumplimiento.
  3. Documentar e identificar claramente la base que legitima el tratamiento de datos personales que lleva a cabo.
  4. Informar a los interesados en relación con la actividad del tratamiento que se va a llevar a cabo.
  5. Diseñar, implantar y mantener actualizado un procedimiento para satisfacer las solicitudes de ejercicio de derechos que reciba de los interesados.
  6. Suscribir contratos de encargo con los encargados del tratamiento (contrato de responsable-encargado del tratamiento). Antes de firmar estos contratos, el responsable deberá asegurarse de que el potencial encargado cumple con la normativa de protección de datos.
  7. El nombramiento de un Delegado de Protección de Datos en el caso de que sea necesario o, en su defecto, de un Responsable de la Protección de Datos.
  8. Llevar a cabo y mantener actualizado un documento de Registro de Actividades de Tratamiento de datos personales.
  9. Llevar a cabo un procedimiento de Gestión de Riesgos del tratamiento para los derechos y libertades de los interesados.
  10. En caso de detectar un tratamiento de alto riesgo, llevar a cabo un procedimiento de Evaluación de Impacto.
  11. Adoptar las medidas de seguridad adecuadas para asegurar la disponibilidad, integridad, confidencialidad y resiliencia de los sistemas de tratamiento.
  12. Diseñar e implantar un procedimiento para hacer frente a posibles brechas de seguridad, así como para notificarlas a la autoridad de control y, en caso de ser necesario, comunicarlas a los interesados.
  13. Tener constancia e informar de las transferencias internacionales de datos personales que se vayan a realizar, y garantizar que se llevan a cabo con la suficiente base legal.

4.-Obligación del encargado del tratamiento

Por su parte, el encargado del tratamiento deberá cumplir con las siguientes obligaciones:

  1. Suscribir un contrato de encargo con el responsable por cuenta de quien va a llevar a cabo el tratamiento de datos.
  2. Colaborar con el responsable del tratamiento en el cumplimiento de sus obligaciones en lo que respecta al tratamiento que lleva a cabo bajo sus instrucciones.
  3. Llevar a cabo el tratamiento de datos siguiendo las instrucciones definidas por el responsable del tratamiento en el mencionado contrato de encargo.
  4. Adoptar y mantener actualizadas las medidas de seguridad adecuadas para garantizar la disponibilidad, integridad, confidencialidad y resiliencia de los sistemas de tratamiento. Estas medidas de seguridad suelen ir determinadas en el contrato de encargo celebrado con el responsable.
  5. Llevar a cabo y mantener actualizado un documento de Registro de Actividades de Tratamiento de datos personales.
  6. Llevar a cabo un procedimiento de Gestión de Riesgos del tratamiento para los derechos y libertades de los interesados.
  7. En caso de detectar un tratamiento de alto riesgo, llevar a cabo un procedimiento de Evaluación de Impacto.
  8. El nombramiento de un Delegado de Protección de Datos en el caso de que sea necesario o, en su defecto, de un Responsable de la Protección de Datos.
  9. Adoptar un protocolo para hacer frente a posibles brechas de seguridad, así como la forma en que deberá comunicarlas al responsable del tratamiento.

5.- Diferencia entre el responsable y el corresponsable del tratamiento

El corresponsable del tratamiento es, en definitiva, un responsable del tratamiento actúa de forma conjunta con otro responsable.

Por lo tanto, en lo que se refiere a las obligaciones del corresponsable, son las mismas que la del responsable.

Lo que diferencia la situación del corresponsable de la de un responsable que trata los datos por sí solo es el hecho de que las decisiones sobre la forma, los medios y las finalidades del tratamiento se deciden entre varias personas, sin jerarquía entre ellas.

En el caso de la corresponsabilidad, los distintos responsables que tratan los datos conjuntamente firman un acuerdo de corresponsabilidad en el que se fijan las reglas que regirán la gestión de todos los aspectos del tratamiento de los datos. Ninguno actúa de forma independiente, y todos ellos responden por el tratamiento.

6.- Ejemplos de responsabilidad, encargo y corresponsabilidad del tratamiento

Imaginemos el caso de una empresa que se dedica al desarrollo de software y que cuenta con varios empleados. Esta empresa contrata a una gestoría para que le lleve todo lo relacionado con las nóminas de sus trabajadores.

En esta situación, la empresa de desarrollo de software es la responsable del tratamiento, mientras que la gestoría es la encargada del tratamiento.

Un ejemplo de corresponsabilidad sería aquel en que una misma cámara de videovigilancia es utilizada por varias empresas en aquellas instalaciones compartidas por ellas. En este caso, al ser la finalidad y los medios del tratamiento compartidos por ambas, se trataría de dos empresas corresponsables del tratamiento.

 

Protección de datos

 

Pero si quieres profundizar más, continua leyendo 👇

7.- ¿Qué dicen las autoridades de protección de datos sobre los responsables, corresponsables y encargados del tratamiento?

  • La Agencia Española de Protección de Datos (AEPD) ha elaborado una Guía del Reglamento General de Protección de Datos para responsables del tratamiento, en la que se enumeran y explican de forma muy exhaustiva y completa las obligaciones que un responsable del tratamiento debe cumplir en dicho rol. Además, incluye una lista de verificación, tanto en versión extendida como simplificada, de todos aquellos aspectos que debe cumplir para ajustarse al RGPD.
  • La AEPD ha elaborado un documento de Directrices para la elaboración de contratos entre responsables y encargados del tratamiento. En este documento se analiza el contenido mínimo que debe prever un acuerdo de encargo, así como modelos de cláusulas que se ajustan a un adecuado acuerdo de este tipo.
  • Por su parte, la Information Comissioner’s Office, autoridad de control inglesa en materia de protección de datos, publicó la siguiente guía sobre los aspectos clave para saber diferenciar a un responsable, un corresponsable y un encargado del tratamiento.
Redactado y revisado por el equipo de protección de datos y privacidad de la firma Algoritmo Legal.

¿Buscas abogado especialista en Protección de datos personales?

Te recomendamos la firma de abogados española Algoritmo Legal donde encontrarás al abogado especializado en Protección de datos personales y con experiencia contrastada que necesitas. Formúlales tu consulta directamente desde aquí (los campos con * son obligatorios):


    ¿Cual es tu nombre?(*)
    ¿Cual es tu correo electrónico?(*)
    ¿En qué ciudad te ubicas?(*)
    ¿A qué teléfono podemos llamarte?

     

    Escribe tu mensaje o formula tu consulta:(*)

    Introduzca los caracteres que ves a continuación (para descartar bots):captcha

    He leído y acepto la Política de Privacidad y de Cookies del portal.

    Lenguaje Jurídico

    Lenguaje Jurídico promueve la utilización del lenguaje jurídico claro y el legal design con el fin de poner el Derecho al alcance de todos. Creadores del primer diccionario jurídico del ciudadano hispanohablante de a pie. Proyecto digital promovido por Algoritmo Legal.

    Ver todas las entradas de Lenguaje Jurídico →
    Translate »