En los próximos días, 25 de mayo de 2018, entrará en vigor el nuevo Reglamento General de Protección de Datos (RGPD). Sin embargo, todavía existen muchas dudas en cuanto a su implantación y a las obligaciones que esta supone para empresas y cualquier tipo de entidades. Uno de los elementos que más polémica ha causado son las nuevas directrices para el responsable y el encargado del tratamiento de datos.
Contenidos
- 1 Diferencias entre responsable y encargado del tratamiento de datos
- 2 ¿A quién afecta el RGPD?
- 3 ¿Cuáles son las obligaciones del Responsable del tratamiento de datos?
- 4 ¿Cuáles son las obligaciones del Encargado del tratamiento de datos?
- 5 ¿Cómo se regula la relación entre el responsable y el encargado?
Diferencias entre responsable y encargado del tratamiento de datos
Actualmente cualquier empresa o entidad recopila datos e información personal de sus usuarios con fines publicitarios, de análisis o de investigación. Cada vez que lleva a cabo esta tarea lo hace como responsable o como encargado del tratamiento de datos.
Ambas figuras están definidas en el artículo 4, del capítulo 1 del nuero RGPD de la siguiente manera:
“Responsable del tratamiento o «responsable»: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.”
“Encargado del tratamiento o «encargado»: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento”.
Una entidad es responsable del tratamiento cuando controla y se responsabiliza de los datos que posee. Sin embargo, si una entidad almacena datos, pero otra decide sobre ellos, entonces es encargado del tratamiento.
¿A quién afecta el RGPD?
Uno de los principales cambios del RGPD frente a las legislaciones vigentes hasta el momento es que nombra responsables del correcto almacenamiento, utilización y destrucción de los datos personales a todas las entidades que intervienen en la cadena de procesamiento. Por lo tanto, tanto el responsable del tratamiento como el encargado del tratamiento, son responsables de cumplir el nuevo RGPD.
En el caso de incumplir la nueva normativa, las sanciones correspondientes recaerán tanto sobre el responsable como sobre el encargado.
¿Cuáles son las obligaciones del Responsable del tratamiento de datos?
El Responsable del tratamiento de datos es, valga la redundancia, el principal responsable de garantizar el cumplimiento del RGPD en cuanto a la recopilación, gestión, acceso y revocación de los datos personales.
En primer lugar, debe obtener el consentimiento explícito de los individuos a tratar sus datos personales. Así como conservar los documentos que acrediten este consentimiento. Del mismo modo, debe garantizar que cursará la solicitud si un individuo revoca el consentimiento al acceso de sus datos personales.
El responsable tendrá también que comunicar todas las violaciones del acceso a los datos personales, en un plazo no superior a 72 horas.
Asimismo, los responsables deberán exigir a los encargados con los que trabajen el cumplimiento del RGPD y la obtención de los certificados necesarios que así lo acrediten. Se espera que el responsable trabaje solo con aquellos encargados que tengan las medidas técnicas y organizativas apropiadas para cumplir con las pautas del RGPD.
¿Cuáles son las obligaciones del Encargado del tratamiento de datos?
El Encargado del Tratamiento de Datos debe garantizar que no utilizará los datos personales para un fin distinto al descrito por el responsable. Ante una petición del responsable, el encargado tendrá que proceder a la devolución o eliminación de estos datos personales de acuerdo con los procesos de destrucción de documentos que establece el RGPD.
Si se produce una violación del acceso a los datos personales, el encargado deberá comunicarlo al responsable de manera inmediata.
¿Cómo se regula la relación entre el responsable y el encargado?
La relación entre el Responsable del Tratamiento de datos y el Encargado del Tratamiento de datos debe estar regulada por un contrato por escrito y firmado por ambas partes. En dicho contrato se reflejará:
- El tratamiento de datos únicamente se realizará para el fin especificado.
- El encargado no comunicará estos datos a terceros.
- Qué hará con los datos una vez finalizada la relación contractual.
- Medidas de seguridad para el tratamiento de datos que seguirá el encargado.
Una vez que el encargado haya cumplido el objetivo del contrato, tendrá que devolver los datos al responsable o proceder a su destrucción de acuerdo con lo establecido en el RGPD.