El Reglamento General de Protección de Datos (RGPD) es el marco legal que regula el tratamiento de los datos personales de los ciudadanos de la Unión Europea. El RGPD establece dos figuras clave que intervienen en el tratamiento de los datos: el Responsable del Tratamiento y el Encargado del Tratamiento.
Estas figuras ya tenían un encaje bien definido en la normativa de protección de datos anterior cuando se hablaba de Responsable del Fichero y Encargado del Tratamiento. Sin embargo, el RGPD les otorga una nueva denominación.
El Responsable del Tratamiento es la persona física o jurídica, pública o privada, que determina los fines y los medios del tratamiento de los datos personales. Es decir, el Responsable del Tratamiento decide para qué se van a utilizar los datos y cómo se van a obtener, almacenar, proteger y eliminar. El Responsable del Tratamiento es el responsable de cumplir con los principios y los derechos del RGPD, así como de informar y obtener el consentimiento de los interesados.
El Encargado del Tratamiento es la persona física o jurídica, pública o privada, que trata los datos personales por cuenta del Responsable del Tratamiento. Es decir, el Encargado del Tratamiento realiza las operaciones técnicas y organizativas necesarias para llevar a cabo el tratamiento de los datos según las instrucciones del Responsable del Tratamiento. El Encargado del Tratamiento debe garantizar la seguridad y la confidencialidad de los datos, así como notificar al Responsable del Tratamiento cualquier incidencia o violación que afecte a los datos.
El RGPD se aplica a todos los Responsable del Tratamientos y Encargado del Tratamientos que traten datos personales de ciudadanos de la Unión Europea, independientemente de su ubicación geográfica o del lugar donde se realice el tratamiento. Esto implica que las empresas que ofrezcan bienes o servicios a los ciudadanos de la Unión Europea o que monitoricen su comportamiento deben cumplir con el RGPD, aunque no tengan sede en la Unión Europea.
El RGPD establece una serie de obligaciones y responsabilidades para los Responsable del Tratamientos y los Encargado del Tratamientos, entre las que se destacan las siguientes:
– Los Responsable del Tratamientos deben llevar un registro de las actividades de tratamiento que realizan, así como realizar una evaluación de impacto cuando el tratamiento pueda suponer un riesgo alto para los derechos y libertades de los interesados.
– Los Responsable del Tratamientos deben designar un Delegado de Protección de Datos (DPO) cuando el tratamiento sea realizado por una autoridad u organismo público, cuando las actividades principales del Responsable del Tratamiento consistan en tratamientos que requieran una observación habitual y sistemática de los interesados a gran escala o cuando las actividades principales del Responsable del Tratamiento consistan en el tratamiento a gran escala de categorías especiales de datos personales o de datos relativos a condenas e infracciones penales.
– Los Responsable del Tratamientos deben informar a los interesados sobre el tratamiento de sus datos personales, así como obtener su consentimiento expreso y específico cuando sea necesario. Los interesados tienen derecho a acceder, rectificar, suprimir, limitar, oponerse y portar sus datos personales.
– Los Responsable del Tratamientos deben notificar a la autoridad competente y a los interesados cualquier violación de seguridad que afecte a los datos personales en un plazo máximo de 72 horas desde que tengan conocimiento de la misma.
– Los Encargado del Tratamientos deben llevar un registro de todas las categorías de actividades de tratamiento que realicen por cuenta del Responsable del Tratamiento.
– Los Encargado del Tratamientos deben designar un Delegado de Protección de Datos (DPO) cuando se den las mismas circunstancias que para los Responsable del Tratamientos.
– Los Encargado del Tratamientos deben informar al Responsable del Tratamiento sin dilación indebida cuando detecten una violación de seguridad que afecte a los datos personales.
– Los Encargado del Tratamientos deben suscribir un contrato o un acto jurídico vinculante con el Responsable del Tratamiento que establezca las condiciones del tratamiento, las garantías de seguridad y confidencialidad, las obligaciones y responsabilidades de ambas partes y los derechos del Responsable del Tratamiento para supervisar el cumplimiento del RGPD por parte del Encargado del Tratamiento.
El RGPD otorga a las autoridades competentes la potestad para imponer sanciones administrativas a los Responsable del Tratamientos y a los Encargado del Tratamientos que incumplan sus disposiciones. Estas sanciones pueden alcanzar hasta el 4% del volumen de negocio anual global o 20 millones de euros, el importe más alto.
En conclusión, el RGPD introduce dos figuras fundamentales para regular el tratamiento de los datos personales: el Responsable del Tratamiento y el Encargado del Tratamiento. Ambas figuras tienen unas obligaciones y responsabilidades concretas dentro del marco de la RGPD.
