Diferencias entre el Responsable y el Encargado de Tratamiento de Datos

El nuevo RGPD obliga a todas las personas, empresas y organizaciones que traten con datos de carácter personal a cumplir con una serie de requisitos y a aplicar determinadas medidas de seguridad en función del tipo de datos que posean.

En este sentido, hace falta tener en cuenta dos figuras importantes en el proceso de adaptación al RGPD: el responsable del tratamiento y el encargado del tratamiento.

• El encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que presta un servicio al responsable que conlleva el tratamiento de datos personales por cuenta de éste.
• El responsable del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

Una entidad es responsable del tratamiento cuando controla y se responsabiliza de los datos que posee.

¿Cuáles son las obligaciones del Responsable del tratamiento de datos?

El responsable del tratamiento de datos es el principal responsable de garantizar el cumplimiento del RGPD en cuanto a recopilación, gestión, acceso, y revocación de los datos personales.

Primeramente, debe obtener el consentimiento explícito de los individuos a tratar sus datos personales, así como conservar los documentos que acrediten este consentimiento. Sin embargo, no siempre es necesario el consentimiento, a veces se tratan datos en la base de una obligación legal, un interés legítimo, etc.

De la misma forma, debe garantizar que cursará la solicitud si un individuo anula el consentimiento al acceso de sus datos personales.

El responsable también tendrá que comunicar todas las violaciones de acceso a los datos personales, en un plazo no superior a las 72h.

Asimismo, los responsables tienen que exigir a los encargados con los que trabajen el cumplimiento del RGPD y la obtención de certificados necesarios que así lo acrediten. Se espera que el responsable trabaje sólo con aquellos encargados que tengan las medidas técnicas y organizativas apropiados para cumplir con las pautas del RGPD.

¿Cuáles son las obligaciones del Encargado del tratamiento de datos?

El Encargado del Tratamiento de Datos debe garantizar que no usará los datos personales para fines diferentes a los descritos por el responsable. Ante una petición del responsable, el encargado tendrá que proceder a la devolución o eliminación de estos datos personales de acuerdo con los procesos de destrucción de documentos que establece el RGPD.

Si se produce una violación del acceso a estos datos, el encargado debe comunicar al responsable de manera inmediata.

¿Cómo se establece la relación entre responsable y encargado de tratamiento?

La regulación de la relación entre el responsable y el encargado del tratamiento se debe establecer a través de un contrato o un acto jurídico unilateral del responsable del tratamiento y debe constar por escrito, inclusivamente en formato electrónico. En este debe constar lo siguiente:

• Las instrucciones del responsable del tratamiento
• El deber de la confidencialidad
• Las medidas de seguridad
• El régimen de la subcontratación
• Los derechos de los interesados
• La colaboración en el cumplimiento de las obligaciones del responsable
• El destino de los datos en finalizar la prestación
• La colaboración con el responsable para demostrar el cumplimiento

Para que el encargado del tratamiento pueda acceder a los datos no es necesario el consentimiento de los afectados, es decir, de las personas cuyos datos se traten siempre que exista el contrato de encargo mencionado.

Una vez que el encargado haya completado el objetivo del contrato, tendrá que devolver los datos al responsable o proceder a su destrucción de acuerdo con lo que establece el RGPD.