Es responsabilidad de ambas figuras determinar las medidas técnicas y organizativas apropiadas que deben aplicarse para garantizar y acreditar el correcto uso de los datos.
Para ello deben tener en cuenta los mayores riesgos que podrían producirse si existiese un mal tratamiento o fugas de la información recabada.
Y, según las actividades que efectivamente realice cada uno, así se determinará su responsabilidad.
Son los encargados, además, de llevar un registro de actividades entorno a los datos. Especificando, según sus finalidades, el tratamiento llevado a cabo. Y, si se hubiera designado un Delegado de Protección de Datos habrá que comunicarle cualquier adición, modificación o exclusión en el contenido del registro.
También corresponde al responsable del tratamiento la obligación de bloquear los datos cuando se proceda a su rectificación o supresión.
1. Responsable del tratamiento de datos
El responsable del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que determina los fines y medios del tratamiento de los datos personales.
Obligaciones del responsable del tratamiento:
- Determinación de fines y medios: El responsable es quien decide por qué y cómo se van a tratar los datos personales. Es decir, define los objetivos del tratamiento y los métodos empleados.
- Cumplimiento de la normativa: Debe garantizar que el tratamiento de datos personales se lleva a cabo en cumplimiento con la LOPDGDD y el RGPD.
- Garantizar los derechos de los interesados: Debe proporcionar a los titulares de los datos (interesados) mecanismos para ejercer sus derechos, como el derecho de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.
- Obtención del consentimiento: Es responsable de obtener el consentimiento informado de los interesados cuando sea necesario, especialmente cuando el tratamiento no se base en otro fundamento legal (como una obligación legal o interés público).
- Seguridad de los datos: Debe implementar medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo que entraña el tratamiento de datos personales.
- Notificación de violaciones de seguridad: En caso de una violación de la seguridad de los datos, el responsable está obligado a notificar a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas.
- Evaluaciones de impacto: Cuando sea probable que el tratamiento implique un alto riesgo para los derechos y libertades de las personas, el responsable debe realizar una evaluación de impacto relativa a la protección de datos (EIPD).
- Designación de un Delegado de Protección de Datos (DPD) cuando sea obligatorio, conforme a lo dispuesto en la LOPDGDD y el RGPD.
2. Encargado del tratamiento de datos
El encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que trata los datos personales por cuenta del responsable del tratamiento. En otras palabras, el encargado actúa bajo las instrucciones del responsable y realiza el tratamiento de los datos sin definir los fines ni los medios.
Obligaciones del encargado del tratamiento:
- Tratar los datos bajo las instrucciones del responsable: El encargado no puede usar los datos personales para fines diferentes a los establecidos por el responsable.
- Garantizar la seguridad de los datos: Al igual que el responsable, el encargado debe aplicar medidas técnicas y organizativas apropiadas para proteger los datos personales frente a accesos no autorizados, pérdida o destrucción.
- Subcontratación: El encargado no puede subcontratar a un tercero para el tratamiento de los datos sin la autorización previa y expresa del responsable.
- Contrato de tratamiento: El tratamiento de datos por parte del encargado debe formalizarse mediante un contrato o acto jurídico que establezca claramente las obligaciones de ambas partes y las instrucciones precisas del responsable. Este contrato debe incluir, al menos, los siguientes puntos:
- El objeto, duración, naturaleza y finalidad del tratamiento.
- Los tipos de datos personales y categorías de interesados.
- Las obligaciones y derechos del responsable.
- El compromiso del encargado de devolver o suprimir los datos personales una vez finalice el contrato.
- Asistencia al responsable en el cumplimiento de la normativa: El encargado debe ayudar al responsable a cumplir con sus obligaciones en materia de protección de datos, incluyendo las medidas de seguridad y la atención a las solicitudes de los interesados.
- Notificación de violaciones de seguridad: Si se produce una violación de seguridad de los datos personales, el encargado tiene la obligación de notificarlo inmediatamente al responsable.
Relación entre el responsable y el encargado del tratamiento
El responsable y el encargado del tratamiento deben trabajar conjuntamente en la protección de los datos personales. El responsable tiene la autoridad sobre el tratamiento de datos, mientras que el encargado ejecuta las tareas que el responsable le encomiende.
Contrato entre el responsable y el encargado:
El RGPD y la LOPDGDD establecen que debe existir un contrato o acto jurídico que regule la relación entre el responsable y el encargado del tratamiento, estableciendo con claridad las obligaciones de cada parte. En este contrato se detallan las condiciones del tratamiento de datos personales, incluidas las medidas de seguridad, la confidencialidad, las instrucciones específicas y el destino de los datos al finalizar el servicio.
Sanciones por incumplimiento
Tanto el responsable como el encargado del tratamiento pueden ser sancionados en caso de incumplimiento de la normativa. Las sanciones pueden incluir desde advertencias hasta multas administrativas significativas, dependiendo de la gravedad de la infracción.