Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento.

Sin valoraciones

  1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:

a) Los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos.

b) Los órganos jurisdiccionales.

c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.

d) Los organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones Públicas.

e) Las autoridades administrativas independientes.

f) El Banco de España.

g) Las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público.

h) Las fundaciones del sector público.

i) Las Universidades Públicas.

j) Los consorcios.

k) Los grupos parlamentarios de las Cortes Generales y las Asambleas Legislativas autonómicas, así como los grupos políticos de las Corporaciones Locales.

2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento. La resolución establecerá asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.

La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso.

  1. Sin perjuicio de lo establecido en el apartado anterior, la autoridad de protección de datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de aplicación.

Asimismo, cuando las infracciones sean imputables a autoridades y directivos, y se acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran sido debidamente atendidos, en la resolución en la que se imponga la sanción se incluirá una amonestación con denominación del cargo responsable y se ordenará la publicación en el Boletín Oficial del Estado o autonómico que corresponda.

  1. Se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.
  2. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo.
  3. Cuando la autoridad competente sea la Agencia Española de Protección de Datos, esta publicará en su página web con la debida separación las resoluciones referidas a las entidades del apartado 1 de este artículo, con expresa indicación de la identidad del responsable o encargado del tratamiento que hubiera cometido la infracción.

Cuando la competencia corresponda a una autoridad autonómica de protección de datos se estará, en cuanto a la publicidad de estas resoluciones, a lo que disponga su normativa específica.

Vea nuestro curso de LOPD GDD

 

Responsables y Encargados del Tratamiento: Definiciones Básicas

  • Responsable del Tratamiento: Es la persona física o jurídica, autoridad pública, servicio u otro organismo que determina los fines y medios del tratamiento de datos personales. En otras palabras, el responsable decide «por qué» y «cómo» se tratan los datos.
  • Encargado del Tratamiento: Es la persona física o jurídica, autoridad pública, servicio u otro organismo que trata datos personales por cuenta del responsable del tratamiento. El encargado realiza el tratamiento de acuerdo con las instrucciones del responsable.

Régimen Aplicable: Obligaciones y Normas

  1. Obligaciones Generales del Responsable del Tratamiento:
    • Licitud, lealtad y transparencia: Debe garantizar que el tratamiento de datos sea legal, justo y transparente para el interesado.
    • Limitación de la finalidad: Los datos deben recogerse para fines específicos, explícitos y legítimos.
    • Minimización de datos: Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se tratan.
    • Exactitud: Los datos deben ser exactos y, cuando sea necesario, actualizados.
    • Limitación del plazo de conservación: Los datos deben conservarse de forma que se permita la identificación de los interesados solo durante el tiempo necesario para los fines del tratamiento.
    • Integridad y confidencialidad: Los datos deben tratarse de manera que se garantice una seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental.
    • Responsabilidad proactiva: El responsable debe poder demostrar el cumplimiento de todas las obligaciones de protección de datos.
  2. Obligaciones Generales del Encargado del Tratamiento:
    • Actuar solo bajo instrucciones del responsable: El encargado no debe tratar los datos de forma diferente a como lo indique el responsable.
    • Confidencialidad: Garantizar que las personas autorizadas a tratar los datos personales se comprometan a respetar la confidencialidad.
    • Seguridad del tratamiento: Implementar medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos.
    • Subcontratación: No subcontratar a otro encargado sin la autorización previa por escrito del responsable.
    • Asistencia al responsable: Ayudar al responsable en el cumplimiento de las obligaciones relacionadas con la seguridad, notificación de brechas de seguridad, evaluación de impacto de protección de datos, y consultas previas a la autoridad de control.
    • Registro de actividades de tratamiento: Mantener un registro de todas las categorías de actividades de tratamiento realizadas por cuenta del responsable.
  3. Regímenes Específicos:
    • Sector Público: Las entidades del sector público suelen tener obligaciones adicionales, como la designación obligatoria de un Delegado de Protección de Datos (DPO).
    • Tratamientos de Alto Riesgo: Si el tratamiento es de alto riesgo (como en el caso de procesamiento a gran escala de datos sensibles), se requieren evaluaciones de impacto sobre la protección de datos y, en algunos casos, consultas previas a la autoridad de control.
    • Transferencias Internacionales: Cuando se transfieren datos a países fuera del Espacio Económico Europeo, deben cumplirse requisitos adicionales, como el uso de cláusulas contractuales tipo o la adhesión a mecanismos de certificación aprobados.
  4. Medidas Técnicas y Organizativas:
    • Tanto el responsable como el encargado deben aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, como la seudonimización, el cifrado, la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios de tratamiento.
  5. Sanciones por Incumplimiento:
    • El incumplimiento de estas obligaciones puede resultar en sanciones significativas bajo el RGPD, que incluyen multas de hasta el 4% de la facturación global anual de la empresa o 20 millones de euros, lo que sea mayor.

Compártelo en tus redes

Valore este curso

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestra web. Si sigues utilizando este sitio asumimos que estás de acuerdo. VER

ACEPTAR