Responsabilidad del Responsable del Tratamiento de datos en el Reglamento general de protección de datos (RGPD) y en la LO 3/2018 de 5 de diciembre (LOPDGDD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 30/01/2019

La regulación de la responsabilidad del Responsable del Tratamiento se contempla en el artículo 24 del RGPD, así como en el artículo 28 de la LOPDGDD.

 

Las obligaciones impuestas por el RGPD a los responsables del tratamiento de los datos se ponen de manifiesto a lo largo de gran parte del texto normativo. Sin perjuicio de ello, resulta necesario hacer una especial mención a lo dispuesto en el artículo 24 del RGPD por cuanto que contempla lo que la propia norma denomina "responsabilidad del responsable del tratamiento".

Pues bien, conforme señala el citado precepto, el responsable del tratamiento deberá de aplicar las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento. Estas medidas deberán de ser adoptadas tomando en consideración la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas. En todo caso, las medidas ejecutadas deberán ser objeto de revisión y actualización cuando resulte oportuno.

La correcta determinación o elección de las medidas por tanto requerirá realizar un análisis de los datos que son objeto de tratamiento, de la finalidad del mismo y de las operaciones que llevan o se llevarán a cabo. Solo a partir del conocimiento previo de estas circunstancias se podrán implementar las medidas que establece el RGPD.

Con respecto a la forma en la que se podrá acreditar el cumplimiento del Reglamento, este no determina el instrumento a través de cual el responsable deberá poder demostrar que trata los datos conforme al RGPD. No obstante, el párrafo tercero del artículo 24 señala -de forma ejemplificativa- dos mecanismos que servirán a los fines pretendidos, siendo estos la adhesión a códigos de conducta aprobados a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del art. 42, RGPD.

El principio de responsabilidad proactiva que informa la regulación de las obligaciones del responsable de protección de datos en el Reglamento se refleja intensamente en el art. 25 RGPD. Así, este precepto instaura lo que se conoce como "protección de datos desde el diseño y por defecto", lo que ha supuesto una ampliación del ámbito de la protección de datos tanto al momento en el que se concibe el diseño del tratamiento -o de servicios y productos que pudieran implicar tratamiento de datos- , como incluso a aquellas situaciones en la que el tratamiento se está desarrollando.

Como señala el considerando 78, la protección de los derechos y libertades de las personas físicas con respecto al tratamiento de datos personales exige la adopción de medidas técnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos del Reglamento.

Pues bien, el responsable del tratamiento debe adoptar políticas internas y aplicar medidas que cumplan en particular los principios de protección de datos desde el diseño y por defecto conforme dispone el artículo 25, RGPD, que expresamente señala:

- El responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento - y teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas- , las medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del Reglamento y proteger los derechos de los interesados.

- Asimismo, el responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.

En sintonía con el espíritu tuitivo y preventivo del Reglamento que se materializa en -entre otras medidas- la llamada responsabilidad proactiva , el considerando 78 señala que debe alentarse a los productores de los productos, servicios y aplicaciones a que - al desarrollar, diseñar, seleccionar y usar aplicaciones, servicios y productos que están basados en el tratamiento de datos personales o que tratan datos personales para cumplir su función-, tengan en cuenta el derecho a la protección de datos cuando desarrollan y diseñen estos productos, servicios y aplicaciones, y que se aseguren, con la debida atención al estado de la técnica, de que los responsables y los encargados del tratamiento están en condiciones de cumplir sus obligaciones en materia de protección de datos.

El responsable del tratamiento no establecido en la Unión que esté tratando datos personales de interesados que residan en la Unión y cuyas actividades de tratamiento están relacionadas con la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si se requiere un pago por parte de estos, o con el control de su comportamiento en la medida en que este tenga lugar en la Unión, debe designar a un representante, a menos que el tratamiento sea ocasional, no incluya el tratamiento a gran escala de categorías especiales de datos personales o el tratamiento de datos personales relativos a condenas e infracciones penales, y sea improbable que entrañe un riesgo para los derechos y libertades de las personas físicas, vista la naturaleza, el contexto, el ámbito y los fines del tratamiento, o si el responsable del tratamiento es una autoridad u organismo público. Este representante debe ser designado expresamente por mandato escrito del responsable para que actúe en su nombre con respecto a las obligaciones que les incumben en virtud del presente Reglamento, si bien, la designación de dicho representante no afecta a la responsabilidad del responsable, puesto que dicho representante debe desempeñar sus funciones conforme al mandato recibido del responsable, incluida la cooperación con las autoridades de control competentes en relación con cualquier medida que se tome para garantizar el cumplimiento del Reglamento. El representante designado debe estar sujeto a medidas coercitivas en caso de incumplimiento por parte del responsable.

Es importante señalar que la adhesión a mecanismos de certificación a fin de demostrar el cumplimiento de la normativa, no limitará la responsabilidad del responsable en cuanto al cumplimiento del RGPD y se entenderá sin perjuicio de las funciones y los poderes de las autoridades de control que sean competentes.

El grado de responsabilidad del responsable, habida cuenta de las medidas técnicas u organizatovas que se hayan aplicado, se tendrá debidamente en cuenta a la hora de la imposición y graduación de las multas administrativas.

Por lo que respecta a la nueva LOPDGDD, es el artículo 28 el encargado de regular las obligaciones generales del responsable, indicando que se deberán determinar las medidas técnicas y organizativas apropiadas a fin de garantizar y acreditar que el tratamiento es conforme a la normativa en la materia. En particular valorarán si procede la realización de la evaluación de impacto en la protección de datos y la consulta previa. Para la adopción de las medidas se tendrán en cuenta, en particular, los mayores riesgos que podrían producirse en los siguientes supuestos:

a) Cuando el tratamiento pudiera generar situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los afectados.

b) Cuando el tratamiento pudiese privar a los afectados de sus derechos y libertades o pudiera impedirles el ejercicio del control sobre sus datos personales.

c) Cuando se produjese el tratamiento no meramente incidental o accesorio de las categorías especiales de datos a las que se refieren los artículos 9 y 10 del Reglamento (UE) 2016/679 y 9 y 10 de esta ley orgánica o de los datos relacionados con la comisión de infracciones administrativas.

d) Cuando el tratamiento implicase una evaluación de aspectos personales de los afectados con el fin de crear o utilizar perfiles personales de los mismos, en particular mediante el análisis o la predicción de aspectos referidos a su rendimiento en el trabajo, su situación económica, su salud, sus preferencias o intereses personales, su fiabilidad o comportamiento, su solvencia financiera, su localización o sus movimientos.

e) Cuando se lleve a cabo el tratamiento de datos de grupos de afectados en situación de especial vulnerabilidad y, en particular, de menores de edad y personas con discapacidad.

f) Cuando se produzca un tratamiento masivo que implique a un gran número de afectados o conlleve la recogida de una gran cantidad de datos personales.

g) Cuando los datos personales fuesen a ser objeto de transferencia, con carácter habitual, a terceros Estados u organizaciones internacionales respecto de los que no se hubiese declarado un nivel adecuado de protección.

h) Cualesquiera otros que a juicio del responsable o del encargado pudieran tener relevancia y en particular aquellos previstos en códigos de conducta y estándares definidos por esquemas de certificación.

Tal y como establece el RGPD, la Ley Orgánica, para el control del cumplimiento del principio de responsabilidad activa, exige una previa valoración por parte del responsable, de los riesgos que pudieran generar el tratamiento de los datos para, a partir de dicha valoración, adoptar las medidas que procedan.

Igualmente, en los supuestos en que el RGPD sea aplicable a un responsable no establecido en la Unión Europea y el tratamiento se refiera a afectados que se hallen en España, la Agencia Española de Protección de Datos o, en su caso, las autoridades autonómicas de protección de datos podrán imponer al representante, solidariamente con el responsable o encargado del tratamiento, las medidas establecidas en el RGPD. Dicha exigencia se entenderá sin perjuicio de la responsabilidad que pudiera en su caso corresponder al responsable y del ejercicio por el representante de la acción de repetición frente a quien proceda. Asimismo, en caso de exigencia de responsabilidad en los términos previstos en el artículo 82 del RGPD, los responsables, encargados y representantes responderán solidariamente de los daños y perjuicios causados.

 

Por último, debemos recordar que el Reglamento determina que, los responsables y encargados deberán establecer las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados. Por ello, el esquema de medidas de seguridad previsto en el Reglamento de Desarrollo de la LOPD pudiera no seguir siendo válido de forma automática tras la entrada en vigor del RGPD. En consecuencia, los responsables únicamente podrán seguir aplicando las medidas establecidas anteriormente si los resultados del análisis de riesgos previo permiten concluir que las medidas son realmente las más adecuadas para ofrecer un nivel de seguridad adecuado.

No hay versiones para este comentario

Responsable del tratamiento
Protección de datos
Tratamiento de datos personales
Datos personales
Responsabilidad del responsable del tratamiento
Persona física
Mecanismo de certificación
Estado de la técnica
Código de conducta
Principio de responsabilidad
Anonimización de datos
Mandato
Política interna
Autoridad de control de datos
Categorías especiales de datos
Minimización de datos
Encargado del tratamiento
Daños y perjuicios
Datos personales relativos a condenas e infracciones penales
Organismos públicos
Multa administrativa
Perjuicios económicos
Datos confidenciales
Perjuicio económico
Secreto profesional
Reversión
Suplantación de identidad
Fraude
Infracciones administrativas
Menor de edad
Medidas de seguridad
Análisis de riesgo
Acción de repetición

Ley Orgánica 3/2018 de 5 de Dic (Protección de Datos Personales y garantía de los derechos digitales -LOPDGDD-) VIGENTE

Boletín: Boletín Oficial del Estado Número: 294 Fecha de Publicación: 06/12/2018 Fecha de entrada en vigor: 07/12/2018 Órgano Emisor: Jefatura Del Estado

Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) VIGENTE

Boletín: Diario Oficial de la Unión Europea Número: 118 Fecha de Publicación: 04/05/2016 Fecha de entrada en vigor: 24/05/2016 Órgano Emisor: Parlamento Europeo Y Consejo

Pertenece al Grupo

Documentos relacionados
Ver más documentos relacionados
  • Infracciones en materia de protección de datos (LOPDGDD y RGPD)

    Orden: Administrativo Fecha última revisión: 23/01/2019

    Las infracciones se recogen de manera bastante somera en el artículo 83 del RGPD y de un modo más específico en la nueva LOPDGDD (arts. 71 a 74).   Con respecto al RGPD, el artículo 83 indica las condiciones para la imposición de multas admini...

  • Glosario de definiciones del RGPD

    Orden: Administrativo Fecha última revisión: 18/01/2019

    El RGPD proporciona -en su artículo 4- la definición de los conceptos sobre los que gravita la regulación de la protección de datos de carácter personal.Así, los distintos operadores jurídicos, la ciudadanía, los poderes públicos, tienen a s...

  • Obligaciones específicas de los encargados del tratamiento de datos de carácter personal en el RGPD y en la LOPDGDD

    Orden: Administrativo Fecha última revisión: 30/01/2019

    El RGPD impone de forma expresa determinadas obligaciones a los encargados del tratamiento de datos de carácter personal (arts. 32, 37 y 40 RGPD). Por su parte la LOPDGDD establece tambien una serie de obligaciones (art. 28, 31 y 34 LOPDGDD). Como...

  • Evaluación de impacto relativa a la protección de datos (EIPD)

    Orden: Administrativo Fecha última revisión: 04/02/2019

    A fin de mejorar el cumplimiento del RGPD en aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, debe incumbir al responsable del tratamiento la r...

  • Tipos de riesgos relacionados con la seguridad de los datos en el RGPD y en la LOPDGDD

    Orden: Administrativo Fecha última revisión: 04/02/2019

    A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el RGPD, el responsable o el encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos (como la seudonimización y el cifrado). ...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados