Aspectos comunes del responsable y el encargado de tratamiento de datos

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 03/05/2022

El título V de la LOPDGDD regula el responsable y el encargado del tratamiento. En concreto, en los arts. 28 y siguientes, establece algunas obligaciones y aspectos comunes a ambas figuras. Estos artículos están relacionados con la regulación dada en esta materia por el RGPD.

Fijación de medidas técnicas y organizativas por el responsable y encargado del tratamiento de datos

Artículo 28 de la LOPDGDD

«1. Los responsables y encargados, teniendo en cuenta los elementos enumerados en los artículos 24 y 25 del Reglamento (UE) 2016/679, determinarán las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el citado reglamento, con la presente ley orgánica, sus normas de desarrollo y la legislación sectorial aplicable. En particular valorarán si procede la realización de la evaluación de impacto en la protección de datos y la consulta previa a que se refiere la Sección 3 del Capítulo IV del citado reglamento.

2. Para la adopción de las medidas a que se refiere el apartado anterior los responsables y encargados del tratamiento tendrán en cuenta, en particular, los mayores riesgos que podrían producirse en los siguientes supuestos:

a) Cuando el tratamiento pudiera generar situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los afectados.

b) Cuando el tratamiento pudiese privar a los afectados de sus derechos y libertades o pudiera impedirles el ejercicio del control sobre sus datos personales.

c) Cuando se produjese el tratamiento no meramente incidental o accesorio de las categorías especiales de datos a las que se refieren los artículos 9 y 10 del Reglamento (UE) 2016/679 y 9 y 10 de esta ley orgánica o de los datos relacionados con la comisión de infracciones administrativas.

d) Cuando el tratamiento implicase una evaluación de aspectos personales de los afectados con el fin de crear o utilizar perfiles personales de los mismos, en particular mediante el análisis o la predicción de aspectos referidos a su rendimiento en el trabajo, su situación económica, su salud, sus preferencias o intereses personales, su fiabilidad o comportamiento, su solvencia financiera, su localización o sus movimientos.

e) Cuando se lleve a cabo el tratamiento de datos de grupos de afectados en situación de especial vulnerabilidad y, en particular, de menores de edad y personas con discapacidad.

f) Cuando se produzca un tratamiento masivo que implique a un gran número de afectados o conlleve la recogida de una gran cantidad de datos personales.

g) Cuando los datos personales fuesen a ser objeto de transferencia, con carácter habitual, a terceros Estados u organizaciones internacionales respecto de los que no se hubiese declarado un nivel adecuado de protección.

h) Cualesquiera otros que a juicio del responsable o del encargado pudieran tener relevancia y en particular aquellos previstos en códigos de conducta y estándares definidos por esquemas de certificación».

Pues bien, los responsables y encargados del tratamiento fijarán las medidas técnicas y organizativas pertinentes para garantizar y acreditar que el tratamiento se adecua a lo dispuesto en:

  • El RGPD.
  • La LOPDGDD.
  • Las normas de desarrollo
  • La legislación sectorial aplicable.

En concreto, estimaran la procedencia de realizar:

  • Una evaluación de impacto de la protección de datos.
  • Una consulta previa.

Además, los responsables y encargados del tratamiento estimarán los peligros existentes en los siguientes casos:

  • En situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los afectados.
  • Cuando el tratamiento suponga una privación a los afectados de sus derechos y libertades o pudiera impedirles el ejercicio del control sobre sus datos personales.
  • Cuando el tratamiento no sea meramente incidental o accesorio de las categorías especiales de datos a las que se refieren los artículos 9 y 10 del RGPD y 9 y 10 de la LOPDGDD o de los datos relacionados con la comisión de infracciones administrativas.
  • Cuando el tratamiento implicase una evaluación de aspectos personales de los afectados con el fin de crear o utilizar perfiles personales de los mismos.
  • Cuando el tratamiento de datos sea de grupos de afectados en situación de especial vulnerabilidad (menores de edad y personas con discapacidad).
  • Cuando haya un tratamiento masivo de datos que implique a un gran número de afectados o conlleve la recogida de una gran cantidad de datos personales.
  • Cuando los datos personales fuesen a ser objeto de transferencia, de manera ordinaria, a terceros Estados u organizaciones internacionales respecto de los que no se hubiese declarado un nivel adecuado de protección.
  • En otros casos que a juicio del responsable o del encargado pudieran tener relevancia  (previstos en códigos de conducta y estándares definidos por esquemas de certificación).

CUESTIÓN

¿Qué regulan los artículos 24 y 25 del RGPD?

Los artículos 24 y 25 del RGPD regulan las siguientes materias:

a) La responsabilidad del responsable del tratamiento (artículo 24 del RGPD).

b) La protección de datos desde el diseño y por defecto (artículo 25 del RGPD).

A TENER EN CUENTA. La determinación de las responsabilidades a las que se refiere el artículo 26.1 del RGPD se realizará atendiendo a las actividades que efectivamente desarrolle cada uno de los corresponsables del tratamiento (artículo 29 de la LOPDGDD).

Representantes de responsables o encargados del tratamiento no establecidos en la UniónRegulación de los representantes de responsables o encargados del tratamiento no establecidos en la Unión en el RGPD

Artículo 27 del RGPD

«1. Cuando sea de aplicación el artículo 3, apartado 2, el responsable o el encargado del tratamiento designará por escrito un representante en la Unión.

2. La obligación establecida en el apartado 1 del presente artículo no será aplicable:

a) al tratamiento que sea ocasional, que no incluyan el manejo a gran escala de categorías especiales de datos indicadas en el artículo 9, apartado 1, o de datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, y que sea improbable que entrañe un riesgo para los derechos y libertades de las personas físicas, teniendo en cuenta la naturaleza, contexto, alcance y objetivos del tratamiento, o

b) a las autoridades u organismos públicos.

3. El representante estará establecido en uno de los Estados miembros en que estén los interesados cuyos datos personales se traten en el contexto de una oferta de bienes o servicios, o cuyo comportamiento esté siendo controlado.

4. El responsable o el encargado del tratamiento encomendará al representante que atienda, junto al responsable o al encargado, o en su lugar, a las consultas, en particular, de las autoridades de control y de los interesados, sobre todos los asuntos relativos al tratamiento, a fin de garantizar el cumplimiento de lo dispuesto en el presente Reglamento.

5. La designación de un representante por el responsable o el encargado del tratamiento se entenderá sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable o encargado».

Así, cuando deba aplicarse el apartado segundo del artículo 3 del RGPD, el responsable o el encargado del tratamiento de datos establecerán por escrito un representante en la Unión. No obstante, la anterior obligación no se aplicará a un:

  • Tratamiento que sea ocasional. Siempre que no incluya:
    • El manejo a gran escala de categorías especiales de datos indicadas en el artículo 9, apartado 1, del RGPD.
    • El tratamiento de datos personales relativos a condenas e infracciones penales a los que se refiere el artículo 10 del RGPD.
  • Tratamiento que sea improbable que entrañe un riesgo para los derechos y libertades de las personas físicas, teniendo en cuenta la naturaleza, contexto, alcance y objetivos del tratamiento.
  • Tratamiento realizado por autoridades u organismos públicos.

CUESTIONES

1. ¿Cómo tiene que actuar el representante del encargado del tratamiento?

El considerando 80 del RGPD dispone que «El representante debe actuar por cuenta del responsable o el encargado y puede ser contactado por cualquier autoridad de control. El representante debe ser designado expresamente por mandato escrito del responsable o del encargado para que actúe en su nombre con respecto a las obligaciones que les incumben en virtud del presente Reglamento».

2. ¿Qué regula el apartado segundo del artículo 3 del RGPD

El RGPD se aplica al tratamiento de datos personales de interesados que se encuentren en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:

«a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o

b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión».

3. ¿Dónde debe estar establecido el representante de responsables o encargados?

Atendiendo a lo dispuesto en el artículo 27.3 del RGPD, el representante estará establecido en uno de los Estados miembros de la Unión Europea en donde estén los interesados cuyos datos personales sean tratados en el contexto de:

- Una oferta de bienes o servicios.

- Comportamiento controlado.

A TENER EN CUENTA. «El responsable o el encargado del tratamiento encomendará al representante que atienda, junto al responsable o al encargado, o en su lugar, a las consultas, en particular, de las autoridades de control y de los interesados, sobre todos los asuntos relativos al tratamiento, a fin de garantizar el cumplimiento de lo dispuesto en el presente Reglamento» (artículo 27.4 del RGPD). «La designación de un representante por el responsable o el encargado del tratamiento se entenderá sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable o encargado» (artículo 27.5 del RGPD).

Regulación de los representantes de responsables o encargados del tratamiento no establecidos en la Unión en la LOPDGDD

Artículo 30 de la LOPDGDD

«1. En los supuestos en que el Reglamento (UE) 2016/679 sea aplicable a un responsable o encargado del tratamiento no establecido en la Unión Europea en virtud de lo dispuesto en su artículo 3.2 y el tratamiento se refiera a afectados que se hallen en España, la Agencia Española de Protección de Datos o, en su caso, las autoridades autonómicas de protección de datos podrán imponer al representante, solidariamente con el responsable o encargado del tratamiento, las medidas establecidas en el Reglamento (UE) 2016/679.

Dicha exigencia se entenderá sin perjuicio de la responsabilidad que pudiera en su caso corresponder al responsable o al encargado del tratamiento y del ejercicio por el representante de la acción de repetición frente a quien proceda.

2. Asimismo, en caso de exigencia de responsabilidad en los términos previstos en el artículo 82 del Reglamento (UE) 2016/679, los responsables, encargados y representantes responderán solidariamente de los daños y perjuicios causados».

CUESTIÓN

¿Qué dispone el apartado segundo del artículo 3 del RGPD?

El RGPD se aplica al tratamiento de datos personales de interesados que se encuentren en la Unión Europea por parte de un responsable o encargado no establecido en la misma, cuando las actividades de tratamiento se traten de:

- Oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago.

- Control de su comportamiento, en la medida en que este tenga lugar en la Unión.

Registro de las actividades del tratamiento Regulación del registro de las actividades del tratamiento en el RGDP

Artículo 30 del RGDP

«1. Cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener toda la información indicada a continuación:

a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;

b) los fines del tratamiento;

c) una descripción de las categorías de interesados y de las categorías de datos personales;

d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;

e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;

f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;

g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.

2. Cada encargado y, en su caso, el representante del encargado, llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable que contenga:

a) el nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del delegado de protección de datos;

b) las categorías de tratamientos efectuados por cuenta de cada responsable;

c) en su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;

d) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 30, apartado 1.

3. Los registros a que se refieren los apartados 1 y 2 constarán por escrito, inclusive en formato electrónico.

4. El responsable o el encargado del tratamiento y, en su caso, el representante del responsable o del encargado pondrán el registro a disposición de la autoridad de control que lo solicite.

5. Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10».

Es decir, el responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento que deberá contener la siguiente información:

  • Nombre y datos de contacto del responsable, corresponsable, representante del responsable y del delegado de protección de datos.
  • Fines del tratamiento.
  • Descripción de las categorías de interesados y de datos personales.
  • Categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales.
  • Transferencias de datos personales a un tercer país u organización internacional, en su caso.
  • Plazos para la supresión de las diferentes categorías de datos, si es posible.
  • Si es posible, una descripción general de las medidas técnicas y organizativas de seguridad del artículo 32.1 del RGPD.

Asimismo, llevará un registro de todas las categorías de actividades de tratamiento que comprenda los siguientes aspectos:

  • Nombre y datos de contacto del encargado/s, responsable por cuenta del cual actúe el encargado, representante del responsable o encargado, en su caso, y del delegado de protección de datos.
  • Categorías de tratamientos efectuados por cada uno de los responsables.
  • Transferencias de datos personales a un tercer país y organización internacional, en su caso.
  • Descripción general de las medidas técnicas y organizativas de seguridad del artículo 30.1 del RGPD.

Además, el considerando 82 del RGPD declara que, para demostrar la conformidad con el RGPD, «(...) el responsable o el encargado del tratamiento debe mantener registros de las actividades de tratamiento bajo su responsabilidad. Todos los responsables y encargados están obligados a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento».

A TENER EN CUENTA.  Las obligaciones indicadas en los apartados 1 y 2 del artículo 30 del RGPD no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1 del RGPD o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10 de la misma norma (artículo 30.5 del RGPD).

CUESTIONES

1. ¿Deberán constar por escrito los registros del apartado primero y segundo del artículo 30 del RGPD?

Sí, los registros de referencia constarán por escrito, inclusive en formato electrónico (artículo 30.3 del RGPD).

2. ¿Qué obligación tendrá el encargado en relación con el registro de las actividades de tratamiento?

El encargado del tratamiento o el representante del responsable o del encargado pondrán el registro a disposición de la autoridad de control que lo solicite (artículo 30.4 del RGPD).

3. ¿Estará obligado el encargado del tratamiento a cooperar con la autoridad de control?

Sí, el responsable del tratamiento, y, en su caso su representante, cooperarán con la autoridad de control que lo solicite en el ámbito de sus funciones (artículo 31 del RGPD).

Regulación del registro de las actividades del tratamiento en la LOPDGDD

Artículo 31 de la LOPDGDD

«1. Los responsables y encargados del tratamiento o, en su caso, sus representantes deberán mantener el registro de actividades de tratamiento al que se refiere el artículo 30 del Reglamento (UE) 2016/679, salvo que sea de aplicación la excepción prevista en su apartado 5.

El registro, que podrá organizarse en torno a conjuntos estructurados de datos, deberá especificar, según sus finalidades, las actividades de tratamiento llevadas a cabo y las demás circunstancias establecidas en el citado reglamento.

Cuando el responsable o el encargado del tratamiento hubieran designado un delegado de protección de datos deberán comunicarle cualquier adición, modificación o exclusión en el contenido del registro.

2. Los sujetos enumerados en el artículo 77.1 de esta ley orgánica harán público un inventario de sus actividades de tratamiento accesible por medios electrónicos en el que constará la información establecida en el artículo 30 del Reglamento (UE) 2016/679 y su base legal».

Es decir, los encargados del tratamiento, o su representante, tendrán que mantener el registro de actividades de tratamiento salvo que sea aplicable la excepción del apartado 5 del artículo 30 del RGPD.

CUESTIONES

1. ¿Qué deberá comunicar el encargado del tratamiento al DPD?

Conforme el artículo 31.1 de la LOPDGDD, si el encargado del tratamiento hubiera designado un DPD deberá informarle de cualquiera de las siguientes circunstancias relacionadas con el contenido del registro:

- Adición.

- Modificación.

- Exclusión

2. ¿El encargado del tratamiento tendrá obligación de bloquear los datos?

Según lo dispuesto en el artículo 32.1 de la LOPDGDD, «El encargado del tratamiento estará obligado a bloquear los datos cuando proceda a su rectificación o supresión». 

3. ¿Qué deberá especificar el registro de actividades del tratamiento de datos?

El registro de actividades tendrá que indicar los siguientes aspectos:

- Actividades de tratamiento llevadas a cabo.

- Otras circunstancias establecidas en el RGPD

4. ¿Quiénes son los sujetos regulados en el apartado primero del artículo 77 de la LOPDGDD?

Se establece un régimen aplicable distinto cuando los responsables o encargados del tratamiento sean:

a) Los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos.

b) Los órganos jurisdiccionales.

c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración local.

d) Los organismos públicos y entidades de derecho público vinculadas o dependientes de las Administraciones públicas.

e) Las autoridades administrativas independientes.

f) El Banco de España.

g) Las corporaciones de derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público.

h) Las fundaciones del sector público.

i) Las universidades públicas.

j) Los consorcios.

k) Los grupos parlamentarios de las Cortes Generales y las asambleas legislativas autonómicas, así como los grupos políticos de las corporaciones locales.

Ahora bien, dichos sujetos «harán público un inventario de sus actividades de tratamiento accesible por medios electrónicos en el que constará la información establecida en el artículo 30 del Reglamento (UE) 2016/679 y su base legal» (artículo 31.2 de la LOPDGDD).

Para concluir, debemos destacar el Dictamen 1/2010 sobre los conceptos de «responsabilidad del tratamiento» y «responsable del tratamiento» del Grupo del artículo 29 sobre Protección de Datos, mediante el cual se realiza un análisis en profundidad de los aspectos tratados en este punto. 

 

 

No hay versiones para este comentario

Encargado del tratamiento
Tratamiento de datos personales
Autoridad de control de datos
Daños y perjuicios
Protección de datos
Suplantación de identidad
Perjuicios económicos
Perjuicio económico
Secreto profesional
Infracciones administrativas
Reversión
Anonimización de datos
Fraude
Menor de edad
Código de conducta
Datos personales
Organismos públicos
Persona física
Registro de las actividades de tratamiento
Responsabilidad del responsable del tratamiento
Datos personales relativos a condenas e infracciones penales
Discapacidad
Delegado de protección
Mandato
Acción de repetición
Inventarios
Responsable del tratamiento
Categorías de datos personales
Actividades de tratamiento de datos
Fundación del sector público
Banco de España
Corporaciones de derecho público
Administración local
Incluídos en este concepto

Documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros y cursos relacionados