¿Quién es el Responsable del tratamiento?
Aproximación al Responsable del Tratamiento
El Responsable del Tratamiento es una figura especialmente relevante en la Normativa de protección de datos, principalmente cuando en 2018 se aprobase la Ley 3/2018 de Protección de Datos Personales y garantías de los derechos digitales (LOPDGDD), pero ¿realmente sabemos quién y cuáles son sus obligaciones?
¿Quién es el Responsable del Tratamiento?
La primera idea acerca de quién es el Responsable del tratamiento la encontramos en el artículo 4.7 del RGPD, en donde lo define de la siguiente manera:
“la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros.”
Por lo tanto, el Responsable del Tratamiento es aquél que decide la finalidad del tratamiento y los medios que utilizará para dicho tratamiento; es decir, responde a las preguntas por qué y cómo se lleva a cabo el tratamiento, siendo estas cuestiones esenciales del propio tratamiento.
Respecto de la pregunta quién puede ser Responsable del tratamiento, hay que decir que no hay restricciones al respecto; es decir, puede ser una persona física o jurídica, ya sea en el ámbito privado o público.
En el caso que estemos ante un grupo de empresas, para identificar al Responsable del tratamiento tendremos que buscar la empresa matriz, para después ubicar el resto de empresas que pudieran actuar como encargados de tratamiento.
Por ponerlo más claro, si una empresa trata, por ejemplo, datos de sus propios clientes o trabajadores, es Responsable del tratameinto, ya que decide sobre cómo y pórque se tratan dichos datos y no los trata porque un tercero se lo haya encargado o delegado.
Si una empresa ha delegado el tratamiento de datos en un tercero (ej. gestión laboral) y fruto de esta, implica un tratamiento de datos personales (ej. confección de nóminas), este tercero tiene la consideración de Encargado del Tratamiento, el cual también tiene que cumplir con la Normativa de protección de datos.
¿Cuáles son las obligaciones del Responsable del Tratamiento?
El Responsable del Tratamiento tiene numerosas obligaciones en materia de protección de datos, todas ellas deberán poderse demostrar que se cumplen, destacando a continuación las más relevantes:
Registro de Actividades de Tratamiento
Conocido con el acrónimo RAT , en resumen consiste en identificar cada uno de los tratamientos de datos personales llevados a cabo por el Responsable del tratamiento.
El RAT debe plasmar detalles muy concretos de los datos tratados e incluir una evaluación de riesgos, que determinarán las medidas de seguridad a implantar, debiéndose hacer constar y aprobar por la Dirección.
Evaluación de Impacto de Protección de Datos
Conocido con el acrónimo EIPD, se deberá elaborar según el resultado de la evaluación de riesgos anteriormente comentada.
La EIPD incluye Medidas de reducción de riesgos y accountability, así como un Plan de Acción a implantar, con su correspondiente seguimiento y aprobación, debiendo contar con la participación del Delegado de Protección de Datos
Delegado de Protección de Datos
El Responsable deberá designar un DPD, si así se lo exige la Normativa de protección de datos, siendo una figura relativamente reciente desde la aprobación del RGPD en mayo de 2006.
El DPD podrá ser una persona jurídica o física y deberá acreditar sus conocimientos y experiencia en materia de protección de datos y la designación se deberá notificar ante el registro de la AEPD., en el plazo legalmente establecido.
Protocolo de actuación ante Brechas de seguridad
Deberá de redactarse una Política de violaciones de seguridad, con los pasos a seguir ante una brecha, siendo destacable que el plazo de notificación a la AEPD es de 72 horas desde que se produce y siempre que sea necesario, pues previamente es necesario realizar una evaluación.
Política de atención al ejercicio de derechos de protección de datos
El Responsable del tratamiento debe elaborar una política con los pasos a seguir en caso de recibir un ejercicio de derechos. Además deberá ser de conocimiento de todos los trabajadores.
Deber de información y recoger el consentimiento de los interesados
Cuando el Responsable del tratamiento quiere tratar datos personales, es obligatorio informar a todos los titulares de estos datos (interesados) sobre lo necesario en materia de protección de datos y poder demostrarlo que así lo hace.
De la misma forma, deberá recoger el consentimiento de los interesados para tratar dichos datos, salvo en las excepciones contempladas en la Normativa de protección de datos.
Recalcar que todas estas obligaciones se deben poder demostrar por parte del Responsable del Tratamiento, ya que el RGPD señala la responsabilidad proactiva como parte de las obligaciones del Responsable (art.5.2 RGPD).
¿Cómo cumplir con todas estas obligaciones?
El Responsable del tratamiento puede encontrar un aliado en una Consultora experta en protección de datos, para cumplir con estas obligaciones, asumiendo gran parte de ellas, asesorando en esta materia y auditando para que el cumplimiento sea total y evitar sanciones, que recordamos pueden alcanzar los 20 millones de euros o un 4% de la facturación anual.
Si necesitas ayuda, contáctanos en el email: info@businessadapter.es, también puedes llamar al 96 131 88 04, o deja tu mensaje en este formulario: