Diferències entre el Responsable i l’Encarregat de Tractament de Dades

El nou RGPD obliga a totes les persones, empreses i organismes que tractin amb dades de caràcter personal, a complir amb una sèrie de requisits i a aplicar determinades mesures de seguretat en funció del tipus de dades que posseeixin.

En aquest sentit, cal tenir en compte dues figures importants en el procés d’adaptació a l’RGPD; el responsable de tractament i l’encarregat del tractament.

• L’ encarregat del tractament és la persona física o jurídica, autoritat pública, servei o un altre organisme que presta un servei al responsable que comporta el tractament de dades personals per compte d’aquest.
• El responsable del tractament és la persona física o jurídica, autoritat pública, servei o un altre organisme que tracti dades personals per compte del responsable del tractament.

Una entitat és responsable del tractament quan controla i es responsabilitza de les dades que posseeix.

Quines són les obligacions del Responsable del tractament de dades?

El responsable del tractament de dades és, el principal responsable de garantir el compliment del RGPD pel que fa a la recopilació, gestió, accés i revocació de les dades personals.

En primer lloc, ha d’obtenir el consentiment explícit dels individus a tractar les seves dades personals. Així com conservar els documents que acreditin aquest consentiment. No obstant, no sempre és necessari el consentiment, de vegades es tracten dades en la base d’una obligació legal, un interès legítim, etc.

De la mateixa manera, ha de garantir que cursarà la sol·licitud si un individu revoca el consentiment a l’accés de les seves dades personals.

El responsable haurà també de comunicar totes les violacions de l’accés a les dades personals, en un termini no superior a 72 hores.

Així mateix, els responsables han d’exigir als encarregats amb els que treballin el compliment del RGPD l’ obtenció dels certificats necessaris que així ho acreditin. S’espera que el responsable treballi només amb aquells encarregats que tinguin les mesures tècniques i organitzatives apropiades per complir amb les pautes del RGPD.

Quines són les obligacions de l’ Encarregat del tractament de dades?

L’encarregat del Tractament de Dades ha de garantir que no utilitzarà les dades personals per a un fi diferent al descrit pel responsable. Davant d’una petició del responsable, l’encarregat haurà de procedir a la devolució o eliminació d’aquestes dades personals d’acord amb els processos de destrucció de documents que estableix el RGPD.

Si es produeix una violació de l’accés a les dades personals, l’encarregat ha de comunicar al responsable de manera immediata.

Com s’estableix la relació entre el responsable i l’encarregat de Tractament?

La regulació de la relació entre el responsable i l’encarregat del tractament s’ha d’establir a través d’un contracte o d’un acte jurídic unilateral del responsable del tractament i ha de constar per escrit, inclusivament en format electrònic. En ell ha de constar el següent:

• Les instruccions del responsable del tractament
• El deure de confidencialitat
• Les mesures de seguretat
• El règim de la subcontractació
• Els drets dels interessats
• La col·laboració en el compliment de les obligacions del responsable
• El destí de les dades en finalitzar la prestació
• La col·laboració amb el responsable per demostrar el compliment

Perquè l’encarregat del tractament pugui accedir a les dades no és necessari el consentiment dels afectats, és a dir, de les persones les dades es tracten sempre que hi hagi el contracte d’encàrrec esmentat.

Una vegada que l’encarregat hagi complert l’objectiu del contracte, haurà de retornar les dades al responsable o procedir a la seva destrucció d’acord amb el que estableix el RGPD.