Este post proviene de esta fuente de noticias

El Comité Europeo de Protección de Datos (CEPD) ha publicado unas nuevas Directrices. Estas, tienen como objeto aclarar los conceptos de responsable y encargado a la luz del RGPD.

El significado concreto de los conceptos se erige como fundamental, dado que, determinan quiénes serán los responsables del cumplimiento. La asignación de responsabilidades de acuerdo con los roles de las partes debe realizarse atendiendo a la legislación comunitaria vigente. En este sentido, el CEPD llevo a cabo esta interpretación esclareciendo y aclarando cada uno de los conceptos:

El responsable puede ser cualquier tipo de organización sin limitaciones.

No obstante, ha de ser la propiedad entidad quien asuma tal rol y no una concreta persona de la organización. El responsable decide de forma concreta algunos de los elementos clave del tratamiento, pudiendo estar el control definido por ley por provenir de un análisis preciso situacional

Asimismo, se determina que el responsable decide los fines y los medios del tratamiento, aunque aspectos más prácticos pueden transferirse al encargado. En último lugar, se indica que el responsable del tratamiento no ha de tener acceso a datos para ser considerado como tal.

La figura de los corresponsables aparece cuando más de un actor intervienen en el tratamiento. Este rol proviene de la participación conjunta de dos o más entidades en la concreción de los fines y medios. del tratamiento. En este sentido, la corresponsabilidad puede aparecer en dos supuestos:

  • Decisión conjunta de dos o más entidades.
  • Decisiones coincidentes de dos o más entidades, complementándose y siendo necesarias para la concreción del tratamiento: fines y medios.

El Comité establece un criterio para la determinación de la existencia de corresponsabilidad. Este, se fundamenta en examinar si sería posible realizar el tratamiento en caso de que se eliminase a uno de los corresponsables. Por ello, si el tratamiento por ambas parte es inseparable y estrictamente vinculado existirá corresponsabilidad.

El encargado, por su parte, es una persona física o jurídica que trata datos personales por cuenta del responsable.

Para su determinación, existen dos condiciones obligatorias:

  • Que se lleve a cabo por una entidad o persona física distinta del responsable,
  • y que, el tratamiento de los datos por cuenta del responsable.

El encargado trata los datos bajo las instrucciones del responsable. No obstante, se puede ceder cierta discrecionalidad y autonomía al encargado en cuanto a la elección de los medios técnicos y organizativos adecuados. Siempre, bajo la premisa de servir a los intereses del responsable. Se señala que si el encargo se extralimita de las instrucciones se convierte en responsable, pudiendo ser sancionado.

La relación entre encargado y responsable es fundamental para la salvaguarda de los derechos e intereses de los interesados. El responsable deberá elegir a aquellos encargados que ofrezcan garantías suficientes.

Para ello, se han de tener en cuenta:

  • Conocimientos técnicos en seguridad de la información,
  • fiabilidad,
  • y, adhesión a un código de conducta aprobado o mecanismo de certificación,

La relación responsable-encargado debe estar regulada por contrato u otro acto jurídico por escrito, siendo vinculante. Se puede negociar el clausulado o atender a las Cláusulas Contractuales Tipo.

En último lugar, la relación entre corresponsables del tratamiento debe cumplir con las obligaciones del RGPD. Para ello, deben determinar las responsabilidades de cada uno de ellos, concretamente, los derechos de los interesados y deberes de información. Cada responsable ha de contar con una base legitimadora del tratamiento.

Aunque el RGPD no específica como se ha de regular la relación entre corresponsables, el Comité recomienda que se haga en un documento vinculante, como un contrato u otro acto jurídico vinculante. Este, deberá contener las funciones y relaciones de cada uno respecto del tratamiento.

Para más información: comunicado oficial y documento completo.

Observatorio Autelsi