¿Qué es un responsable, un corresponsable y un encargado del tratamiento de datos personales?

1.- Introducción

Se considera responsable del tratamiento de datos personales aquella persona física o jurídica que lleva a cabo un tratamiento de datos de personales según los fines y medios que haya decidido, y lo hace en su nombre, por su propia cuenta y bajo su responsabilidad.

Por su parte, en contraposición al responsable, se considera encargado del tratamiento de datos personales a aquella persona física o jurídica que realiza el tratamiento de datos personales bajo la responsabilidad y por cuenta de un responsable del tratamiento. En consecuencia, lo hace siguiendo las instrucciones, los fines y medios marcados por el responsable.

Es corresponsable del tratamiento de datos personales es aquel responsable que lleva a cabo la actividad descrita de forma conjunta con otro responsable, de forma que han llegado a un acuerdo sobre los fines y medios que se utilizan para llevar a cabo el tratamiento.

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, el Reglamento General de Protección de Datos (en adelante, el RGPD) define las dos primeras figuras en el artículo 4, dedicado a las definiciones. Hace referencia al corresponsable del tratamiento dentro de la propia definición de responsable del tratamiento, cuando dice que este puede realizar el tratamiento por si solo o de forma conjunta. De esta forma, las tres figuras quedan expresamente reconocidas en el RGPD.

El Reglamento General de Protección de datos reconoce, en relación con las actividades del tratamiento, tres figuras: el responsable, el corresponsable y el encargado del tratamiento.

2.- Regulación del responsable, corresponsable y encargado del tratamiento

Las figuras del responsable, corresponsable y encargado del tratamiento encuentran su regulación en los artículos 4, 24, 26, 28 y 29 del RGPD.

Por su parte, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, la LOPDGDD) les dedica los artículos 28 a 30 y 33.

3.- Obligaciones del responsable del tratamiento

El RGPD prevé las siguientes obligaciones del responsable del tratamiento:

1. Cumplir con los principios del tratamiento enumerados en el artículo 5 del RGPD: licitud, transparencia y lealtad, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo de conservación, integridad y confidencialidad de los datos.
2. Cumplir con el principio de responsabilidad proactiva, que implica el cumplimiento de las normas en materia de protección de datos y la posibilidad de demostrar dicho cumplimiento.
3. Documentar e identificar claramente la base que legitima el tratamiento de datos personales que lleva a cabo.
4. Informar a los interesados en relación con la actividad del tratamiento que se va a llevar a cabo.
5. Diseñar, implantar y mantener actualizado un procedimiento para satisfacer las solicitudes de ejercicio de derechos que reciba de los interesados.
6. Suscribir contratos de encargo con los encargados del tratamiento (contrato de responsable-encargado del tratamiento). Antes de firmar estos contratos, el responsable deberá asegurarse de que el potencial encargado cumple con la normativa de protección de datos.
7. El nombramiento de un Delegado de Protección de Datos en el caso de que sea necesario o, en su defecto, de un Responsable de la Protección de Datos.
8. Llevar a cabo y mantener actualizado un documento de Registro de Actividades de Tratamiento de datos personales.
9. Llevar a cabo un procedimiento de Gestión de Riesgos del tratamiento para los derechos y libertades de los interesados.
10. En caso de detectar un tratamiento de alto riesgo, llevar a cabo un procedimiento de Evaluación de Impacto.
11. Adoptar las medidas de seguridad adecuadas para asegurar la disponibilidad, integridad, confidencialidad y resiliencia de los sistemas de tratamiento.
12. Diseñar e implantar un procedimiento para hacer frente a posibles brechas de seguridad, así como para notificarlas a la autoridad de control y, en caso de ser necesario, comunicarlas a los interesados.
13. Tener constancia e informar de las transferencias internacionales de datos personales que se vayan a realizar, y garantizar que se llevan a cabo con la suficiente base legal.

4.-Obligación del encargado del tratamiento

Por su parte, el encargado del tratamiento deberá cumplir con las siguientes obligaciones:

1. Suscribir un contrato de encargo con el responsable por cuenta de quien va a llevar a cabo el tratamiento de datos.
2. Colaborar con el responsable del tratamiento en el cumplimiento de sus obligaciones en lo que respecta al tratamiento que lleva a cabo bajo sus instrucciones.
3. Llevar a cabo el tratamiento de datos siguiendo las instrucciones definidas por el responsable del tratamiento en el mencionado contrato de encargo.
4. Adoptar y mantener actualizadas las medidas de seguridad adecuadas para garantizar la disponibilidad, integridad, confidencialidad y resiliencia de los sistemas de tratamiento. Estas medidas de seguridad suelen ir determinadas en el contrato de encargo celebrado con el responsable.
5. Llevar a cabo y mantener actualizado un documento de Registro de Actividades de Tratamiento de datos personales.
6. Llevar a cabo un procedimiento de Gestión de Riesgos del tratamiento para los derechos y libertades de los interesados.
7. En caso de detectar un tratamiento de alto riesgo, llevar a cabo un procedimiento de Evaluación de Impacto.
8. El nombramiento de un Delegado de Protección de Datos en el caso de que sea necesario o, en su defecto, de un Responsable de la Protección de Datos.
9. Adoptar un protocolo para hacer frente a posibles brechas de seguridad, así como la forma en que deberá comunicarlas al responsable del tratamiento.

5.- Diferencia entre el responsable y el corresponsable del tratamiento

El corresponsable del tratamiento es, en definitiva, un responsable del tratamiento actúa de forma conjunta con otro responsable.

Por lo tanto, en lo que se refiere a las obligaciones del corresponsable, son las mismas que la del responsable.

Lo que diferencia la situación del corresponsable de la de un responsable que trata los datos por sí solo es el hecho de que las decisiones sobre la forma, los medios y las finalidades del tratamiento se deciden entre varias personas, sin jerarquía entre ellas.

En el caso de la corresponsabilidad, los distintos responsables que tratan los datos conjuntamente firman un acuerdo de corresponsabilidad en el que se fijan las reglas que regirán la gestión de todos los aspectos del tratamiento de los datos. Ninguno actúa de forma independiente, y todos ellos responden por el tratamiento.

6.- Ejemplos de responsabilidad, encargo y corresponsabilidad del tratamiento

Imaginemos el caso de una empresa que se dedica al desarrollo de software y que cuenta con varios empleados. Esta empresa contrata a una gestoría para que le lleve todo lo relacionado con las nóminas de sus trabajadores.

En esta situación, la empresa de desarrollo de software es la responsable del tratamiento, mientras que la gestoría es la encargada del tratamiento.

Un ejemplo de corresponsabilidad sería aquel en que una misma cámara de videovigilancia es utilizada por varias empresas en aquellas instalaciones compartidas por ellas. En este caso, al ser la finalidad y los medios del tratamiento compartidos por ambas, se trataría de dos empresas corresponsables del tratamiento.

Pero si quieres profundizar más, continua leyendo

7.- ¿Qué dicen las autoridades de protección de datos sobre los responsables, corresponsables y encargados del tratamiento?

• La Agencia Española de Protección de Datos (AEPD) ha elaborado una Guía del Reglamento General de Protección de Datos para responsables del tratamiento, en la que se enumeran y explican de forma muy exhaustiva y completa las obligaciones que un responsable del tratamiento debe cumplir en dicho rol. Además, incluye una lista de verificación, tanto en versión extendida como simplificada, de todos aquellos aspectos que debe cumplir para ajustarse al RGPD.
• La AEPD ha elaborado un documento de Directrices para la elaboración de contratos entre responsables y encargados del tratamiento. En este documento se analiza el contenido mínimo que debe prever un acuerdo de encargo, así como modelos de cláusulas que se ajustan a un adecuado acuerdo de este tipo.
• Por su parte, la Information Comissioner’s Office, autoridad de control inglesa en materia de protección de datos, publicó la siguiente guía sobre los aspectos clave para saber diferenciar a un responsable, un corresponsable y un encargado del tratamiento (*).

Para proteger debidamente tus datos personales o asegurarte de que tu empresa cumple con la exigente normativa europea sobre protección de datos personales, es imprescindible estar asesorado por abogados expertos en protección de datos.

Nota a pie de página:
(*)Aquí el documento: https://ico.org.uk/for-organisations/guide-to-data-protection/key-dp-themes/guidance-for-the-use-of-personal-data-in-political-campaigning-1/controllers-joint-controllers-and-processors/