Quien es el responsable del tratamiento de datos personales
Significado de Gdpr
El rumor sobre el próximo Reglamento General de Protección de Datos (RGPD) de la Unión Europea está cobrando fuerza a medida que se acerca la fecha de entrada en vigor, es decir, el 25 de mayo de 2018. Uno de los elementos más discutidos de esta ley son las nuevas directrices que ha establecido para los responsables y encargados del tratamiento de datos. Aunque el GDPR mantiene algunas de las obligaciones que la Directiva de Protección de Datos impone a ambas partes, también ha introducido algunas nuevas. En este blog, analizaremos las responsabilidades del responsable y del encargado del tratamiento que el RGPD ha conferido a cada uno, y daremos ideas sobre cómo una organización, ya sea responsable o encargada del tratamiento, puede empezar a prepararse para estar preparada para el RGPD.
En el mundo digital actual, la recopilación y el almacenamiento de datos es más una norma que una excepción. Las empresas pueden recopilar datos individuales con fines publicitarios, de marketing, analíticos o de investigación. Cada vez que una empresa recopila y procesa los datos personales de una persona, lo hace como "responsable del tratamiento" o como "encargado del tratamiento". En el capítulo 1, artículo 4 del RGPD, ambos se definen como sigue:
Artículo 6 del RGPD
El Reglamento General de Protección de Datos (RGPD) ofrece una posibilidad uniforme en toda Europa para el denominado "tratamiento de datos por encargo", que consiste en la recogida, el tratamiento o la utilización de datos personales por un encargado del tratamiento de conformidad con las instrucciones del responsable del tratamiento basadas en un contrato.
La normativa pertinente para el tratamiento de datos por encargo ya se aplica si el tratamiento está relacionado con actividades de un establecimiento dentro de la UE. Esto significa que basta con que el responsable o el encargado del tratamiento tengan un establecimiento en la UE y el tratamiento tenga lugar en el contexto de sus actividades. Hay que diferenciar entre el tratamiento y el control conjunto (art. 26 del RGPD), en el que ambas partes definen conjuntamente los fines y los medios del tratamiento de datos y, por lo tanto, también son corresponsables de los mismos.
En una relación responsable-tratamiento, este último sólo puede tratar datos personales basándose en las instrucciones documentadas del responsable. El encargado del tratamiento no puede contratar a otro encargado para ayudar a cumplir un contrato específico, sin la autorización previa por escrito, específica o general, del responsable del tratamiento respectivo. En caso de autorización general, el encargado del tratamiento deberá informarle de cualquier cambio pertinente en relación con el tratamiento.
Datos personales
El RGPD establece siete principios para el tratamiento lícito de los datos personales. El tratamiento incluye la recogida, organización, estructuración, almacenamiento, modificación, consulta, uso, comunicación, combinación, limitación, supresión o destrucción de datos personales. A grandes rasgos, los siete principios son :
Los responsables del tratamiento son responsables del cumplimiento de los principios y la letra del Reglamento. Los responsables del tratamiento también son responsables de su tratamiento y deben demostrar su cumplimiento. Así se establece en el nuevo principio de responsabilidad.
(b) recogidos con fines determinados, explícitos y legítimos, y no ser tratados posteriormente de manera incompatible con dichos fines; el tratamiento posterior con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos no se considerará incompatible con los fines iniciales ("limitación de la finalidad");
(d) exactos y, en caso necesario, actualizados; deberán tomarse todas las medidas razonables para garantizar que los datos personales que sean inexactos, habida cuenta de los fines para los que se traten, se supriman o rectifiquen sin demora ("exactitud");
Gdpr artículo 32
El responsable del tratamiento determina los fines y los medios del tratamiento de los datos personales. Por tanto, si su empresa/organización decide "por qué" y "cómo" deben tratarse los datos personales, es el responsable del tratamiento. Los empleados que procesan datos personales dentro de su organización lo hacen para cumplir sus tareas como responsables del tratamiento.
Su empresa/organización es corresponsable del tratamiento cuando, junto con una o más organizaciones, determina conjuntamente "por qué" y "cómo" deben tratarse los datos personales. Los corresponsables del tratamiento deben celebrar un acuerdo que establezca sus responsabilidades respectivas en el cumplimiento de las normas del RGPD. Los principales aspectos del acuerdo deben comunicarse a las personas cuyos datos se tratan.
El encargado del tratamiento procesa datos personales únicamente en nombre del responsable del tratamiento. El encargado del tratamiento suele ser un tercero ajeno a la empresa. No obstante, en el caso de grupos de empresas, una empresa puede actuar como encargado del tratamiento para otra empresa.
Responsable y encargado del tratamientoUna fábrica de cerveza tiene muchos empleados. Firma un contrato con una empresa de nóminas para pagar los salarios. La cervecera indica a la empresa de nóminas cuándo deben pagarse los salarios, cuándo un empleado deja la empresa o recibe un aumento de sueldo, y facilita todos los demás datos para la nómina y el pago. La empresa de nóminas proporciona el sistema informático y almacena los datos de los empleados. La fábrica de cerveza es el responsable del tratamiento de los datos y la empresa de nóminas es el encargado del tratamiento.Responsables conjuntosSu empresa/organización ofrece servicios de canguro a través de una plataforma en línea. Al mismo tiempo, su empresa/organización tiene un contrato con otra empresa que le permite ofrecer servicios de valor añadido. Estos servicios incluyen la posibilidad de que los padres no sólo elijan a la canguro, sino que también alquilen juegos y DVD que la canguro puede traer. Ambas empresas participan en la configuración técnica del sitio web. En ese caso, las dos empresas han decidido utilizar la plataforma para ambos fines (servicios de canguro y alquiler de DVD/juegos) y muy a menudo compartirán los nombres de los clientes. Por lo tanto, las dos empresas son corresponsables del tratamiento porque no sólo acuerdan ofrecer la posibilidad de "servicios combinados", sino que también diseñan y utilizan una plataforma común.