
En la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) quedan reguladas las responsabilidades y obligaciones de todos aquellos que participan en el tratamiento de datos personales.
Las principales figuras que se definen son los Responsables del Tratamiento de Datos y los Encargados de Tratamiento, elegidos y controlados por los anteriores. También quedan precisadas las condiciones que se deben cumplir cuando se quiere contar con un Subencargado.
Las obligaciones y responsabilidades de estas figuras son completamente distintas y ello lo podemos observar si definimos las características de cada una de ellas.
Figuras responsables en el tratamiento de datos
El Responsable del tratamiento puede ser una persona física o jurídica, incluyendo Organismos y entidades públicas. Este Responsable decidirá la finalidad para la que se tratan los datos proporcionados por el Interesado y decide los medios con los que se cuenta para realizar el tratamiento.
Dentro de las obligaciones del Responsable se encuentra, principalmente, la de informar acerca de aquella finalidad del tratamiento y toda aquella información básica sobre el mismo, incluyendo quién tratará los datos del interesado en nombre del Responsable, si esto fuera necesario. Es decir, si será necesario que un tercero, elegido por el Responsable, tenga acceso a los datos personales del interesado por encargo expreso. Esta figura es la del Encargado de Tratamiento que, si bien no tiene las mismas obligaciones que el Responsable, sí ha de regirse por las directrices de este y empleando los medios que se indiquen por el mismo.
El Encargado de Tratamiento puede ser también una persona física o jurídica, incluyendo Organismos y entidades públicas a la que se encarga la gestión de los datos personales responsabilidad del Responsable del Tratamiento.
Esta relación ha de estar estrictamente regulada y el Responsable del Tratamiento debe elegir a un Encargado de Tratamiento que ofrezca suficientes garantías para lo que deberá controlar y auditar, si fuese necesario, el cumplimiento de las obligaciones encomendadas.
Dentro de las obligaciones del Responsable se encuentra la de informar acerca de aquella finalidad del tratamiento y toda aquella información básica sobre el mismo
Además, el acuerdo de tratamiento de datos entre las partes debe formalizarse por escrito y se deben definir objeto, duración, naturaleza y finalidad del tratamiento, así como los tipos de datos o categorías de datos que se van a tratar, y las obligaciones y derechos de Responsable y Encargado. Entre estas obligaciones, el Encargado debe garantizar que aquellas personas habilitadas por él que intervienen en al tratamiento (empleados, etc.) mantendrán las condiciones de confidencialidad de los mismos.
Por último, estas obligaciones asumidas por el Encargado las puede encargar a un tercero, denominado Subencargado, y que debe cumplirlas en las mismas condiciones que el Encargado de Tratamiento lo hace con el Responsable y este último debe estar informado y debe autorizar esta subcontratación con el fin de que cada uno responda a su nivel.
Como conclusión, podemos resumir que contando con los contratos firmados entre estas tres figuras y teniendo perfectamente definidas las obligaciones y responsabilidades de cada una de ellas, se da sobrado cumplimiento a lo establecido en el TÍTULO V de LOPDGDD.
Autora: Rosa Selva Morán es Directora del Departamento de Protección de Datos y Derecho Digital de Fernández-Palacios Abogados