¿Quién es quién en el RGPD?: responsable versus encargado

Para proteger los derechos de los interesados es fundamental designar a un responsable y a un encargado del tratamiento ya que estas personas o grupo de personas están a cargo de las actividades de tratamiento en las diferentes etapas de la gestión de datos. Teniendo en cuenta la complejidad de las estructuras de negocio que hay en la actualidad, es fácil confundir las obligaciones jurídicas de estos dos roles. A simple vista, las funciones del responsable y del encargado parecen similares. Sin embargo, tienen características y obligaciones jurídicas diferentes y cada una de ellas puede ser asistida por un software efectivo de cumplimiento del RGPD. En esta entrada, presentaremos brevemente los dos conceptos y describiremos las obligaciones de cada uno.

¿Quién es el responsable del tratamiento según el RGPD?

Como su nombre lo indica, el responsable del tratamiento es la persona física o jurídica, autoridad pública, agencia u otro organismo que, de forma individual o conjuntamente con otros, determina los fines y medios de una actividad de tratamiento de datos.

¿Quién es el encargado del tratamiento según el RGPD?

El encargado del tratamiento es la persona física o jurídica que trata los datos personales en nombre del responsable. Los encargados sólo pueden tratar datos personales según las instrucciones del responsable. Por lo tanto, una persona no puede cumplir ambos roles para la misma actividad de tratamiento: usted puede ser responsable o encargado.

Sin embargo, si se trata de diferentes actividades de tratamiento es posible que ambos roles se concentren en una misma persona. Por ejemplo, para la administración de los salarios de sus empleados, su organización actuará como responsable, pero para los servicios de software ofrecidos a otras organizaciones, su organización probablemente actuará como encargado.

rgpd

 

¿Cuáles son las diferencias entre responsable y encargado?

En primer lugar, el responsable del tratamiento es el principal responsable de cumplir con las solicitudes de los interesados. Además, ejecuta o coordina la ejecución de los derechos de los interesados, como por ejemplo, el derecho de acceso y el derecho de supresión (y muchos otros establecidos en los artículos 15 a 22).

En segundo lugar, el responsable determina la finalidad de la actividad de tratamiento y es quien toma las decisiones relativas a los datos personales. Además, asume las obligaciones relacionadas con el fin legítimo del tratamiento y garantiza que el tratamiento tenga un fin específico y bien definido y una base jurídica correcta.

En tercer lugar, el responsable debe contratar a los encargados que adoptan las medidas técnicas y organizativas necesarias para que el tratamiento cumpla con los requisitos establecidos por el RGPD y así proteger los derechos del interesado. Esto se hace mediante un contrato (un contrato de tratamiento) o instrumento jurídico similar. Los requisitos que deben incluirse en el contrato se enumeran explícitamente en el artículo 28.

Es importante destacar que, según el artículo 28(4), el encargado que contrata a otros encargados (que se denominan sub-encargados) debe cumplir con los mismos requisitos. Las obligaciones asumidas por el encargado principal también se aplican a los sub-encargados. Es decir que los sub-encargados deben implementar medidas técnicas y organizativas para que el tratamiento se realice conforme al RGPD (incluido el uso de software de cumplimiento). Sin embargo, el encargado principal es quien tendrá total responsabilidad por los sub-encargados que han sido contratados.

Por otro lado, existen diferencias entre responsables y encargados con respecto a las obligaciones administrativas en virtud del RGPD:

  • El artículo 30 exige un inventario de las actividades de tratamiento, pero la información requerida varía según se trate de responsables o encargados: los registros que mantienen los encargados tiene menos detalles.
  • Los artículos 33 y 34 se ocupan de la violación de la seguridad de los datos personales. El responsable debe notificar a la autoridad de control ​​o al interesado mientras que el encargado debe notificar al responsable del tratamiento sin dilación indebida.
  • Los artículos 35 y 36 describen las evaluaciones de impacto relativas a la protección de datos y las consultas previas. Esto está estrechamente relacionado con la determinación de los fines y medios de la actividad de tratamiento y, por lo tanto, son obligaciones que recaen sobre el responsable.

¿Cómo encajan los responsables y los encargados en el sistema del RGPD?

El RGPD exige un sólido vínculo contractual entre encargados y sub-encargados. Si bien en muchos casos es el responsable quien tiene el rol protagónico, el Reglamento también establece obligaciones jurídicas para el encargado y los sub-encargados para crear así un sistema “impermeable” a la filtración de responsabilidad.

El sistema del RGPD funciona como una "cláusula perpetua": el responsable asigna obligaciones al encargado, quien, a su vez, asigna las mismas obligaciones a los sub-encargados, y así sucesivamente, ad infinitum. Así, la cadena responsable-encargado no puede esquivar la responsabilidad ni la rendición de cuentas.

En conclusión, es importante comprender estos dos conceptos y sus diferencias para identificar las obligaciones jurídicas de su organización y para que sirvan de guía para futuras actividades de tratamiento de datos personales.

Laurens Mommers y Elif Kaya
PrivacyPerfect