El Comité Europeo de Protección de Datos ha publicado unas orientaciones donde aclara los conceptos de responsable y encargado de tratamiento, entre otros elementos clave del RGPD.
Los conceptos de responsable, corresponsable y encargado de tratamiento juegan un papel esencial en la aplicación del RGPD, y es por tanto necesario que se comprendan con claridad las funciones y roles asociados a los mismos. A estos efectos, el CEPD ha publicado unas orientaciones al respecto. La importancia de ello radica en que estos conceptos pretenden asignar una responsabilidad apropiada a cada una de las partes.
Los responsables del tratamiento y los corresponsables deciden algunos elementos clave del tratamiento, pero no tienen por qué contar con acceso a los datos necesariamente.
El responsable del tratamiento decide algunos de los aspectos clave del mismo, como las finalidades y los medios, pero para ser considerado como tal no es necesario que cuente con acceso a los datos. Cuando más de un actor participa en el tratamiento de los datos, las partes podrían ser consideradas corresponsables. Para ello es necesario que la intervención de todas ellas sea precisa para que el tratamiento tenga lugar en la forma en la que sucede, y que no sería posible en ausencia de alguna de ellas. Las partes pueden decidir de manera conjunta tanto las finalidades como los medios del tratamiento, o bien tan sólo uno de dichos elementos. Si bien el concepto de responsable no se limita a ningún tipo de entidad, normalmente se considera responsable a las empresas y organizaciones, no a individuos dentro de las mismas como podría ser un empleado o algún del cargo directivo.
Si bien el RGPD no define las características que debe tener el acuerdo de corresponsables del tratamiento, el CEPD recomienda que sea un documento vinculante como un contrato o equivalente conforme al derecho de la UE o los Estados Miembros. Es importante destacar sin embargo que las autoridades de control no están sujetas a los términos de dicho acuerdo y los interesados pueden ejercer sus derechos frente a cualquiera de los corresponsables.
También pueden darse situaciones en las que varias partes participan en el tratamiento pero no son corresponsables. Si múltiples actores toman parte de manera sucesiva en la cadena de operaciones, serán responsables en su propio derecho, no corresponsables.
Exploramos el concepto de corresponsables de tratamiento en detalle en nuestro blog “Corresponsabilidad del tratamiento: indicaciones clave del Comité Europeo de Protección de Datos”.
El encargado de tratamiento es una entidad separada del responsable, que trata los datos por cuenta del responsable.
El encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que trata datos personales por cuenta del responsable o de los corresponsables. Las dos condiciones que debe cumplir un encargado de tratamiento para ser considerado como tal son las siguientes: por un lado, ser una entidad separada del responsable y, por otro, tratar los datos por cuenta del responsable. Los empleados y otras personas que actúan bajo la autoridad directa del responsable, como puede ocurrir con el personal temporal, no son encargados aunque traten los datos bajo el control e indicaciones del responsable, porque forman parte de la entidad del mismo. El tratamiento de datos personales puede implicar a varios encargados del tratamiento, pues un encargado es cualquier entidad que actúa por cuenta del responsable para tratar los datos personales.
El responsable deberá considerar si las garantías ofrecidas por el encargado del tratamiento son suficientes para cumplir con los requisitos del RGPD.
A fin de cumplir con los requisitos del RGPD, es necesario que los responsables usen únicamente encargados que puedan ofrecer las garantías suficientes para implementar medidas técnicas y organizativas apropiadas. Sería apropiado considerar la experiencia técnica del encargado, así como su fiabilidad, recursos y posible adherencia a un código de conducta. El encargado deberá ser capaz de demostrar todas las garantías ofrecidas, pues cualquier otra sobre la que no pueda presentar credenciales no serán consideradas por el responsable. La relación entre el responsable y el encargado de tratamiento debería recogerse en un Acuerdo de Encargado de Tratamiento que contenga los elementos principales del mismo.
Podría haber terceros que traten los datos sin pertenecer a ninguna de las categorías de responsable o encargado del tratamiento.
El RGPD también define el concepto de tercero. Un tercero es “una persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado”. Este término se refiere por tanto a una entidad que, en relación a la transferencia de datos concreta, no se encuadra en ninguna de dichas categorías.
Un destinatario se define como “la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero”. Por ejemplo, cuando un responsable envía datos a otra entidad, ya sea esta entidad un encargado o un tercero, se la considera un destinatario. Es preciso señalar, sin embargo, que no se considerarán destinatarios las autoridades públicas que puedan recibir datos personales en el marco de una investigación concreta de conformidad con el Derecho de la Unión o de los Estados miembros.
En las orientaciones, el CEPD ofrece una explicación detallada de estos conceptos, sus funciones y responsabilidades, e incluye ejemplos específicos que muestran cómo funcionan estos términos en la práctica y su interacción con diferentes situaciones.