Responsable del tratamiento
El responsable del tratamiento es quien determina los fines y los medios relacionados con el tratamiento de los datos personales.
El responsable del tratamiento es quién decide «cómo» y «por qué» deberán tratarse los datos personales.
Si en tu organización eres tú quien se encarga de tomar ese tipo de decisiones, entonces eres el responsable del tratamiento.
Los empleados que realizan el tratamiento de los datos personales en tu organización lo hacen en cumplimiento de las funciones que tu ejerces como responsable del tratamiento. Esto es, tú debes dar las instrucciones precisas de cómo se deben tratar los datos en tu organización.
Corresponsable del tratamiento
Existe corresponsable del tratamiento, cuando, una o más organizaciones, determinan conjuntamente «por qué» y «cómo» deberán tratarse los datos personales.
Los corresponsables del tratamiento deben concertar un acuerdo en el que se establezcan sus respectivas responsabilidades de cumplimiento con las normas del Reglamento general de protección de datos.
Los principales aspectos del acuerdo deberán comunicarse a las personas sobre cuyos datos se realice el tratamiento.
El acuerdo deberá reflejar, como mínimo, lo siguiente:
- Las funciones de cada Corresponsable con respecto al tratamiento y a sus relaciones con los interesados.
- Las responsabilidades de cada Corresponsable con respecto al Reglamento.
- Los procedimientos y mecanismos para el ejercicio de los derechos de los interesados.
Los aspectos esenciales del acuerdo deberán estar a disposición de los interesados y éstos podrán ejercer sus derechos frente a, y en contra de, cada uno de los Corresponsables.
Es importante tener en cuenta que los nombres y datos de contacto de los Corresponsables deben figurar en el Registro de las actividades de tratamiento y en las Consultas previas que un responsable pueda dirigir a la autoridad de control (AEPD).
Encargado del tratamiento
El encargado del tratamiento es quién trata los datos personales únicamente por cuenta del responsable del tratamiento.
El encargado del tratamiento de los datos suele ser un tercero externo a la empresa; sin embargo, en el caso de los grupos de empresas, una de ellas puede actuar como encargada del tratamiento para otra.
Las obligaciones del encargado del tratamiento con respecto al responsable deberán especificarse en un contrato u otro acto jurídico.
El contrato debe indicar entre otras cuestiones lo que pasará con los datos personales una vez finalizado el contrato.
El encargado del tratamiento sólo puede subcontratar una parte de esta tarea a otro encargado o designar un coencargado cuando haya recibido la autorización previa por escrito del responsable del tratamiento.
La asignación de roles
La asignación de roles no siempre es sencilla, existen situaciones en las que una entidad puede ser responsable o encargado del tratamiento, o ambas cosas, por lo que es importante tener clara la distinción, aunque cada organización es diferente, os daré algunos ejemplos que os ayudarán a entender mejor la distinción.
Ejemplo 1
Un hotel que tiene muchos empleados, firma un contrato con una empresa de nóminas, para poder pagarles los salarios.
El Hotel indica a la empresa de nóminas cuándo deben pagarse las nóminas, cuándo un empleado abandona la empresa o si tiene un aumento de sueldo, y proporciona toda la demás información sobre la nómina y el pago.
La empresa de nóminas proporciona el sistema informático y conserva los datos de los empleados.
El Hotel sería el responsable del tratamiento y la empresa de nóminas el encargado del tratamiento.
Ejemplo 2
La empresa A presta servicios guardería a través de una plataforma por internet.
Al mismo tiempo, la empresa A tiene un contrato con la empresa B, que se dedica al alquiler del juego y DVD, que le permite ofrecer servicios de valor añadido.
Esos servicios incluyen la posibilidad de que los padres no solo elijan la canguro, sino también que alquilen juegos y DVD que esta puede traer.
Ambas empresas participan en los aspectos técnicos del sitio web.
En este caso, las dos empresas han decidido utilizar la plataforma para ambos fines (servicios de guardería y alquiler de DVD o juegos) y a menudo compartirán los nombres de sus clientes.
Si ambas empresas están de acuerdo, no sólo, en ofrecer la posibilidad de «servicios combinados», sino que también diseñan y utilizan una plataforma común, ambas empresas serán corresponsables del tratamiento.
La figura del corresponsable no existía en la LOPD por lo que ahora es necesario analizar en qué medida un Encargado de tratamiento determina conjuntamente con el Responsable los fines o los medios del tratamiento.
En el caso de que participe en la toma de decisiones, ya no se le podrá considerar Encargado del tratamiento, sino que será corresponsable del tratamiento. Por ejemplo, un abogado que lleven toda la gestión laboral de sus clientes.
0 comentarios