19 Oct Responsable del tratamiento de datos
La protección de los datos personales lleva mucho tiempo entre nosotros. Sin embargo, la transformación digital de la sociedad, tanto de las organizaciones públicas y privadas como de los propios ciudadanos, ha hecho que la protección de datos se vuelva mucho más importante para proteger los derechos fundamentales de las personas. Por eso nació el Reglamento General de Protección de Datos (RGPD) en el seno de la Unión Europea. Una normativa que contempla una figura muy particular: la del responsable del tratamiento de datos. ¿Pero qué es?
Quién es el responsable del tratamiento de datos en el RGPD
El responsable del tratamiento de datos RGPD es la persona física o la persona jurídica que determina los fines que tendrá el tratamiento de los datos personales, así como los medios a través de los cuales se llevará a cabo dicho tratamiento. En ese sentido, es la persona que tiene que informar acerca de los objetivos con los que son recebados los datos de los titulares. Lejos de ser una figura anecdótica, se trata de una figura fundamental con una gran cantidad de responsabilidades. Eso sí, no debemos confundirlo con el encargado del tratamiento.
Diferencia entre responsable y encargado del tratamiento
Las funciones del encargado del tratamiento de datos quedan limitadas a la parte ejecutiva. En otras palabras: es la persona física o la persona jurídica que almacena los datos personales y los custodia, pero no decide qué se hace con ellos. Esa decisión, por el contrario, recae sobre los hombros del responsable del tratamiento de los datos personales de tercero. Es este último quien tiene el control final sobre lo que ocurre con los mismos. Y, como ya hemos mencionado anteriormente, presenta muchas obligaciones según la normativa RGPD.
Qué dice el Reglamento General de Protección de Datos sobre los responsables
Entre otras obligaciones se encuentra la obligación de llevar un registro detallado de las actividades de tratamiento, siempre y cuando la organización que trata los datos tenga al menos 230 trabajadores. No obstante, existen excepciones a esta regla, como cuando el tratamiento de los datos ponga en peligro los derechos y libertades de los titulares de alguna manera especial. En ese caso, también deberán llevar a cabo el registro del tratamiento y entregarlo cuando sea necesario a la Agencia Española de Protección de Datos (AEPD).
Funciones de la persona responsable de esta información
Además, las obligaciones del responsable del tratamiento de datos también incluyen el deber de informar a los usuarios sobre los datos que recopilan, sobre la finalidad de la recopilación, sobre el tiempo que serán conservados y tratados, sobre si se producirá el acceso a los mismos por parte de terceros y sobre los canales de comunicación con los que cuentan para activar sus derechos ARCO: derecho al acceso, derecho a la rectificación, derecho a la cancelación, derecho a la oposición, derecho a la portabilidad y derecho al olvido.
Obligaciones que debe cumplir
Pero la cosa no queda ahí. Las obligaciones del responsable del tratamiento de datos siguen: debe obtener el consentimiento expreso, no tácito, de los titulares para recopilar sus datos personales; debe realizar auditorías y evaluaciones de impacto; debe implementar medidas que garanticen la seguridad e integridad de los datos; debe nombrar a un Delegado de Protección de Datos en caso de que procesa según lo estipulado en el artículo 34 de la LOPD; y debe notificar a la AEPD acerca de las posibles brechas de seguridad.
Consecuencias del incumpliento de sus obligaciones como responsable
El RGPD es muy estricto en lo que respecta al cumplimiento de tus preceptos. De hecho, y según su artículo 83.5, los incumplimientos puede conllevar sanciones económicas de hasta 20 millones de euros o el 4% de la facturación del último ejercicio en caso de ser considerados muy graves. Conviene hacer las cosas bien.