¿Qué es un responsable del tratamiento de datos?

El responsable del tratamiento determina las finalidades y los medios de tratamiento de los datos personales. En otras palabras, el responsable del tratamiento decide el cómo y por qué de una operación de tratamiento de datos. Un responsable del tratamiento puede ser una persona jurídica, por ejemplo una empresa, una pyme, una autoridad pública, una agencia u otro organismo.

En determinados casos, los fines y medios del tratamiento de los datos personales, así como el responsable del tratamiento, pueden estar determinados por la legislación de la UE o de los Estados miembros.

¿Qué es un corresponsable del tratamiento?

Cuando hay dos o más responsables del tratamiento que determinan conjuntamente la finalidad y los medios de tratamiento, se consideran corresponsables del tratamiento. Deciden conjuntamente tratar datos personales para un fin conjunto. La corresponsabilidad puede adoptar muchas formas y la participación de los diferentes responsables puede ser desigual. Por lo tanto, los corresponsables del tratamiento deben determinar sus respectivas responsabilidades para el cumplimiento del RGPD.

 

¿Cuáles son las responsabilidades de un responsable o corresponsable del tratamiento?

Al decidir los fines y medios del tratamiento de datos personales, el responsable del tratamiento, o los corresponsables del tratamiento, deben garantizar la protección de los datos personales de las personas físicas. 

Para lograrlo, el responsable del tratamiento, o los corresponsables del tratamiento, deben adoptar medidas para proteger los datos personales y permitir a las personas ejercer sus derechos.

Para obtener más información, consulte la «Lista de verificación de responsabilidades del controlador/controlador conjunto»

¿Qué es un encargado del tratamiento?

El encargado del tratamiento actúa únicamente bajo las instrucciones del responsable del tratamiento, tratando datos personales por cuenta de éste.

Al igual que un responsable del tratamiento de datos o un corresponsable del tratamiento, un encargado del tratamiento puede ser una persona jurídica, por ejemplo una empresa, una PYME, una autoridad pública, una agencia u otros organismos.

¿Qué es un subencargado?

Un subencargado actúa bajo las instrucciones del encargado del tratamiento, lo que significa que puede tratar los datos personales en nombre del encargado. Un subencargado puede ser una persona jurídica, por ejemplo una empresa, una pyme, una autoridad pública, una agencia u otro organismo.

A tener en cuenta, un subencargado solo puede ser nombrado si el responsable del tratamiento, o el corresponsable del tratamiento, lo autoriza por escrito. En tal caso, el encargado deberá establecer un contrato vinculante con el subencargado en el que se detallen las responsabilidades del subencargado. Este contrato encargado del tratamiento-subencargado debe prever la misma protección de los datos personales que el contrato responsable-encargado inicial.

¿Cuáles son las responsabilidades de un encargado?

Si bien la responsabilidad general recae generalmente en el responsable del tratamiento de datos, los encargados del tratamiento de datos también tienen ciertas responsabilidades bajo el RGPD. Los encargados del tratamiento deben llevar a cabo las operaciones de tratamiento con las medidas técnicas y organizativas adecuadas establecidas por el responsable del tratamiento o el corresponsable del tratamiento. De este modo, el encargado del tratamiento ayuda al responsable del tratamiento a cumplir con el Reglamento General de Protección de Datos.

La relación responsable-encargado del tratamiento, incluidas las responsabilidades del encargado, debe regirse por un contrato en el que se documenten las operaciones de tratamiento y los medios para tratar los datos personales.

Para obtener más información, consulte la «Lista de verificación de responsabilidades del procesador».

 

¿Qué incluir en un contrato de responsable-encargado?

El contrato entre el responsable del tratamiento o el corresponsable del tratamiento y el encargado del tratamiento debe estipular que el encargado del tratamiento de datos:

  • trata los datos personales únicamente siguiendo instrucciones del responsable del tratamiento, incluso en lo que respecta a las transferencias de datos personales a un país no perteneciente al EEE;
  • garantiza que las personas autorizadas para tratar los datos se hayan comprometido a mantener la confidencialidad o estén sujetas a una obligación legal de confidencialidad adecuada;
  • garantiza la seguridad del tratamiento;
  • no contratará a otro encargado del tratamiento sin previa autorización específica o general por escrito del responsable del tratamiento, que tiene la posibilidad de oponerse;
  • ayuda al responsable del tratamiento para el cumplimiento de las obligaciones de responder a las solicitudes individuales de ejercicio de sus derechos;
  • ayuda al responsable del tratamiento a proteger el tratamiento, notificar las violaciones de datos y llevar a cabo las EIPD;
  • a elección del responsable del tratamiento, suprimir o devolver todos los datos personales al responsable del tratamiento una vez finalizada la prestación de los servicios;
  • pone a disposición del responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones derivadas del RGPD;
  • facilita y contribuye a las auditorías, incluidas las inspecciones realizadas por el responsable del tratamiento u otro auditor encargado por el responsable del tratamiento.
     

¿Qué incluir en un contrato de encargado — subencargado?

El contrato entre el encargado y el subencargado debe incluir cláusulas específicas que garanticen que los datos personales que se van a tratar estarán protegidos de la misma manera que lo dispuesto en el contrato responsable-encargado del tratamiento.

 

¿Quién es responsable ante quién?

Un responsable del tratamiento, o corresponsable del tratamiento, es responsable tanto de su propio cumplimiento con el RGPD como del cumplimiento del encargado elegido. En términos concretos, si el encargado del tratamiento incumple sus obligaciones en virtud del RGPD, el responsable del tratamiento, o el corresponsable, podría ser considerado responsable y estar sujeto a multas y otras consecuencias, si procede.

El encargado del tratamiento es responsable de su propio cumplimiento con el RGPD y puede ser responsable ante el responsable del incumplimiento del contrato contratista-encargado del tratamiento. Un encargado del tratamiento también puede ser responsable ante el responsable del tratamiento por las infracciones causadas por el subencargado. 

 

Lista de verificación de responsabilidades

Lista de control de responsabilidades del responsable o del corresponsable

  • Cumplimiento de los principios de protección de datos en virtud del artículo 5 del RGPD
  • Defensa de los derechos de protección de datos de las personas
  • Mantenimiento de registros de las operaciones de tratamiento
  • Garantizar la seguridad del tratamiento
  • Elegir un encargado del tratemiento de datos adecuado
  • Detallar en un contrato vinculante la relación responsable-encargado del tratamiento
  • Notificación de brechas de datos personales a la autoridad pertinente de protección de datos del EEE y a las personas físicas, en su caso
  • Ser responsable de las operaciones de tratamiento, practicar la protección de datos por diseño y por defecto, llevar a cabo evaluaciones de impacto de la protección de datos cuando sea necesario
  • Nombrar a un delegado de protección de datos cuando sea necesario
  • Cumplimiento de las obligaciones de protección de datos en materia de transferencias internacionales de datos personales
  • Cooperación con las autoridades de protección de datos

Lista de verificación de responsabilidades del encargado

  • Seguir las instrucciones del responsable
  • Mantenimiento de registros de las operaciones de tratamiento
  • Garantizar la seguridad del tratamiento
  • Respetar y mantener el contrato vinculante del responsable-encargado del tratamiento
  • Obtener la autorización del responsable antes de contratar a un nuevo subencargado (y dar al responsable la posibilidad de oponerse). En su caso, deberá establecerse un contrato de encargado — subencargado que equivaldrá al contrato inicial entre responsable y encargado.
  • Notificación de brechas de datos personales al responsable del tratamiento
  • Notificación de las infracciones del RGPD al responsable del tratamiento
  • Ser responsable de las operaciones de tratamiento: por ejemplo, la práctica de la protección de datos por diseño y por defecto
  • Nombrar a un delegado de protección de datos cuando sea necesario
  • Garantizar que las transferencias internacionales estén autorizadas por el responsable del tratamiento y cumplan con el RGPD
  • Cooperación con las autoridades de protección de datos