Responsable del tratamiento en materia de protección de datos en el Reglamento General de Protección de Datos (RGPD) y en la LO 3/2018 de 5 de diciembre (LOPDGDD)
- Estado: Redacción actual VIGENTE
- Orden: Administrativo
- Fecha última revisión: 20/07/2021
El RGPD proporciona la definición del término «responsable del tratamiento» o «responsable» señalando que debemos considerar como tal a «la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros».
Encontramos la definición de responsable del tratamiento o responsable en el art. 4.7) del RGPD; conforme al mencionado artículo se denomina responsable: «la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros».
Responsabilidad del responsable del tratamiento de datosArtículo 24 del RGPD
«1. Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.
2. Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas en el apartado 1 se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos.
3. La adhesión a códigos de conducta aprobados a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrán ser utilizados como elementos para demostrar el cumplimiento de las obligaciones por parte del responsable del tratamiento».
Así, este artículo dispone que el responsable del tratamiento aplicará las medidas técnicas y organizativas adecuadas a fin de garantizar y poder demostrar que el tratamiento es conforme al RGPD, las cuales se revisarán y actualizarán cuando sea preciso.
El responsable del tratamiento a la hora de aplicar las medidas técnicas y organizativas tendrá en cuenta las siguientes circunstancias:
- El ámbito.
- El contexto.
- Los fines del tratamiento.
- Los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas.
Asimismo, cuando sean proporcionadas con respecto a las actividades el tratamiento, el responsable del tratamiento aplicará las oportunas políticas de protección de datos.
La adhesión a códigos de conducta del artículo 40 del RGPD, o a un mecanismo de certificación del artículo 42 del mismo texto legal, puede ser utilizada como elemento probatorio del cumplimiento de las obligaciones por el responsable del tratamiento.
Protección de datos desde el diseño y por defectoArtículo 25 del RGPD
«1. Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.
2. El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.
3. Podrá utilizarse un mecanismo de certificación aprobado con arreglo al artículo 42 como elemento que acredite el cumplimiento de las obligaciones establecidas en los apartados 1 y 2 del presente artículo».
Igualmente, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el propio tratamiento, medidas técnicas y organizativas adecuadas, como la seudonimización.
Para la realización de lo anterior, el responsable del tratamiento tendrá en cuenta los siguientes elementos:
- El estado de la técnica.
- El coste de la aplicación.
- La naturaleza, el ámbito, el contexto y los fines del tratamiento.
- Los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas.
A TENER EN CUENTA. El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas (artículo 25.2 del RGPD).
A tenor de lo anterior, es importante tener claras las diferencias existentes entre la figura del responsable del tratamiento y del responsable del fichero, en este sentido, la sentencia del Tribunal Supremo n.º 772/2020, de 15 de junio, ECLI:ES:TS:2020:1562, declara que:
«(...) el responsable del fichero es quien decide la creación del fichero y su aplicación, y también su finalidad, contenido y uso, es decir, quien tiene capacidad de decisión sobre la totalidad de los datos registrados en dicho fichero. El responsable del tratamiento, sin embargo, es el sujeto al que cabe imputar las decisiones sobre las concretas actividades de un determinado tratamiento de datos, esto es, sobre una aplicación específica. Se trataría de todos aquellos supuestos en los que el poder de decisión debe diferenciarse de la realización material de la actividad que integra el tratamiento».
En la misma línea, la sentencia de la Audiencia Nacional, rec. 136/2019, de 22 de julio de 2020, ECLI:ES:AN:2020:2207, dictada con ocasión de un procedimiento contencioso de una sociedad mercantil contra la resolución de la directora de la AEPD que sanciona a dicha entidad por una infracción grave.
CUESTIONES
1. ¿Cómo podrá acreditarse el cumplimiento de las obligaciones de los apartados 1 y 2 del artículo 25 del RGPD?
Podrá utilizarse como elemento acreditativo de las citadas obligaciones un mecanismo de certificación aprobado de acuerdo con el artículo 42 del RGPD (artículo 25.3 del RGPD).
2. ¿Qué es la seudonimización?
Según la definición dispuesta en el artículo 4 del RGPD, la seudonimización es «(...) el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable».
No obstante, la seudonimización se menciona en numerosas ocasiones a lo largo del articulado del reglamento que nos ocupa como en:
a) Licitud del tratamiento [artículo 6.4.e) del RGPD].
b) Protección de datos desde el diseño y por defecto (artículo 25.1 del RGPD).
c) Seguridad del tratamiento [artículo 32.1.a) del RGPD].
d) Códigos de conducta [artículo 40.2.d) del RGPD].
e) Garantías y excepciones aplicables al tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos (artículo 89.1 del RGPD).
3. ¿Qué sucederá cuando el responsable del tratamiento no establecido en la Unión Europea trate datos personales de interesados que se encuentren en la Unión Europea?
El considerando 80 del RGPD declara que el responsable del tratamiento no establecido en la Unión Europea que «(...) esté tratando datos personales de interesados que se encuentran en la Unión y cuyas actividades de tratamiento están relacionadas con la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si se requiere un pago por parte de estos, o con el control de su comportamiento en la medida en que este tenga lugar en la Unión, debe designar a un representante, a menos que el tratamiento sea ocasional, no incluya el tratamiento a gran escala de categorías especiales de datos personales o el tratamiento de datos personales relativos a condenas e infracciones penales, y sea improbable que entrañe un riesgo para los derechos y libertades de las personas físicas, vista la naturaleza, el contexto, el ámbito y los fines del tratamiento, o si el responsable del tratamiento es una autoridad u organismo público».
Corresponsables del tratamiento de datos personalesArtículo 26 del RGPD
«1. Cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento serán considerados corresponsables del tratamiento. Los corresponsables determinarán de modo transparente y de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por el presente Reglamento, en particular en cuanto al ejercicio de los derechos del interesado y a sus respectivas obligaciones de suministro de información a que se refieren los artículos 13 y 14, salvo, y en la medida en que, sus responsabilidades respectivas se rijan por el Derecho de la Unión o de los Estados miembros que se les aplique a ellos. Dicho acuerdo podrá designar un punto de contacto para los interesados.
2. El acuerdo indicado en el apartado 1 reflejará debidamente las funciones y relaciones respectivas de los corresponsables en relación con los interesados. Se pondrán a disposición del interesado los aspectos esenciales del acuerdo.
3. Independientemente de los términos del acuerdo a que se refiere el apartado 1, los interesados podrán ejercer los derechos que les reconoce el presente Reglamento frente a, y en contra de, cada uno de los responsables».
A TENER EN CUENTA. El encargado del tratamiento y cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo podrán tratar dichos datos siguiendo instrucciones del responsable, a no ser que estén obligados a ello en virtud del derecho de la Unión o de los Estados miembros (artículo 29 del RGPD).
CUESTIONES
1. ¿Deberán cooperar el responsable y el encargado del tratamiento con la autoridad de control?
Sí, el responsable, el encargado del tratamiento y, en su caso, sus representantes «cooperarán con la autoridad de control que lo solicite en el desempeño de sus funciones» (artículo 31 del RGPD).
2. ¿Cómo se determinarán las responsabilidades del artículo 26.1 del RGPD?
Tal y como dispone el artículo 29 de la LOPDGDD, «La determinación de las responsabilidades a las que se refiere el artículo 26.1 del Reglamento (UE) 2016/679 se realizará atendiendo a las actividades que efectivamente desarrolle cada uno de los corresponsables del tratamiento».
3. ¿Qué otros preceptos del RGPD están relacionados con el responsable del tratamiento?
Otros preceptos en relación con el responsable del tratamiento son los siguientes:
- Representantes de responsables o encargados del tratamiento no establecidos en la Unión (artículo 27 del RGPD).
- Registros de las actividades del tratamiento (artículo 30 del RGPD).
(Aspectos analizados posteriormente).
4. ¿Qué otros preceptos de la LOPDGDD están relacionados con el responsable del tratamiento?
Otros preceptos en relación con el responsable del tratamiento son los siguientes:
- Obligaciones generales del responsable y encargado del tratamiento (artículo 28 de la LOPDGDD).
- Representantes de los responsables o encargados del tratamiento no establecidos en la Unión Europea (artículo 30 de la LOPDGDD).
- Registro de actividades de tratamiento (artículo 31 de la LOPDGDD).
- Bloqueo de datos (artículo 32 de la LOPDGDD).
(Aspectos analizados posteriormente).
No hay versiones para este comentario
- Generalidades
- Procedimiento Administrativo
- Revisión de actos en vía administrativa
- Revisión judicial del acto administrativo: Derecho Procesal Contencioso-Administrativo
- Contratos del Sector Público
- Bienes de las administraciones públicas
- Expropiación forzosa
- Ordenación del territorio, Urbanismo y Vivienda
- Derecho ambiental
- Derecho local
- Derecho de extranjería
- Tráfico, seguridad vial y transportes
- Protección de datos
- Protección de datos para abogados y procuradores
- Protección de datos para comunidades de propietarios
- Protección de datos en redes sociales
- Constitución Española
- Estudio de la responsabilidad de las Administraciones Públicas
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. VIGENTE
Boletín: Boletín Oficial del Estado Número: 294 Fecha de Publicación: 06/12/2018 Fecha de entrada en vigor: 07/12/2018 Órgano Emisor: Jefatura Del Estado
- D.F. 16ª. Entrada en vigor.
- D.F. 15ª. Desarrollo normativo.
- D.F. 14ª. Modificación del texto refundido de la Ley del Estatuto Básico del Empleado Público.
- D.F. 13ª. Modificación del texto refundido de la Ley del Estatuto de los Trabajadores.
- D.F. 12ª. Modificación de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) VIGENTE
Boletín: Diario Oficial de la Unión Europea Número: 118 Fecha de Publicación: 04/05/2016 Fecha de entrada en vigor: 24/05/2016 Órgano Emisor: Parlamento Europeo Y Consejo
-
Sentencia ADMINISTRATIVO AN, Sala de lo Contencioso, Sec. 1, Rec 415/2016, 27-04-2018
Orden: Administrativo Fecha: 27/04/2018 Tribunal: Audiencia Nacional Ponente: Menéndez, Fernando De Mateo Num. Recurso: 415/2016
-
Sentencia Supranacional TJUE, 03-08-2020
Orden: Supranacional Fecha: 03/08/2020 Tribunal: Tribunal De Justicia De La Union Europea
-
Sentencia Supranacional Nº C-40/17, TJUE, 29-07-2019
Orden: Supranacional Fecha: 29/07/2019 Tribunal: Tribunal De Justicia De La Union Europea Num. Sentencia: C-40/17
-
Sentencia Supranacional Nº C-210/16, TJUE, 05-06-2018
Orden: Supranacional Fecha: 05/06/2018 Tribunal: Tribunal De Justicia De La Union Europea Ponente: Tizzano Num. Sentencia: C-210/16
-
Sentencia Supranacional TJUE, 16-05-2022
Orden: Supranacional Fecha: 16/05/2022 Tribunal: Tribunal De Justicia De La Union Europea
-
Sistema de proactividad en materia de protección de datos en el cumplimiento normativo del RGPD y de la LOPDGDD
Orden: Administrativo Fecha última revisión: 31/05/2021
La protección de los derechos y libertades de las personas físicas con respecto al tratamiento de datos personales exige la adopción de medidas técnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos del RGP...
-
Derecho a la supresión de los datos y derecho al olvido en la LOPDGDD y en el RGPD
Orden: Administrativo Fecha última revisión: 01/06/2021
El artículo 17 del RGPD regula el derecho a la supresión de los datos personales (anteriormente denominado derecho de cancelación) y el conocido como «derecho al olvido». Además en la nueva LOPDGDD se reconoce en el artículo 15 entre otras men...
-
Derecho de transparencia e información en la LOPDGDD y en el RGPD
Orden: Administrativo Fecha última revisión: 20/07/2021
Los derechos a la transparencia e información del interesado se encuentran regulados en los artículos 12, 13 y 14 del RGPD, así como en el artículo 11 de la LOPDGDD.Deber de información y transparencia en los derechos del interesadoTransparencia...
-
Registro de actividades de tratamiento (protección de datos en comunidades de propietarios)
Orden: Administrativo Fecha última revisión: 08/07/2021
La categoría de responsable del tratamiento de datos conlleva una serie de obligaciones como son:Llevanza de un registro de actividades de tratamiento.Adopción de medidas técnicas y organizativas orientadas a garantizar un nivel de seguridad adecu...
-
Obligaciones y deberes en la protección de datos en la comunidad de propietarios
Orden: Administrativo Fecha última revisión: 18/08/2021
La garantía de un ejercicio adecuado de los derechos que correspondan a los comuneros y a los «terceros» en la comunidad, así como un garante del cumplimiento por parte de los propietarios de las obligaciones que le son impuestas en la LPH. Obli...
-
Contrato de encargo de tratamiento entre responsable y encargado. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 01/06/2022
CONTRATO DE ENCARGADO/A DE TRATAMIENTO En [LOCALIDAD], a [DIA] de [MES] de [ANIO] REUNIDOS De una parte, D./Dña. [NOMBRE], mayor de edad, con NIF n.º [NÚMERO] y domicilio en [DIRECCIÓN].Y de otra, D./Dña. [NOMBRE], mayor de edad, con con ...
-
Formulario de contrato de prestación de servicios como encargado de tratamiento en ámbito médico (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 01/06/2022
CONTRATO DE PRESTACIÓN DE SERVICIOS COMO ENCARGADO DE TRATAMIENTO EN EL ÁMBITO MÉDICO En [LOCALIDAD], a [DIA] de [MES] de [ANIO] REUNIDOS De una parte, D./Dña. [NOMBRE], mayor de edad, con NIF n.º [NÚMERO] y domicilio en [DIRECCIÓN].Y ...
-
Modelo de contestación al ejercicio del derecho de supresión. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 17/08/2021
[NOMBRE_EMPRESA]CIF/NIF [NUMERO][DIRECCION][TELEFONO][CORREO_ELECTRONICO]Delegado de Protección de datos: [ESPECIFIQUE AQUI, LOS DATOS DE CONTACTO DEL DELEGADO, INCLUYENDO, DIRECCION, TELEFONO, EMAIL, Y TODOS LOS DATOS QUE SEAN NECESARIOS PARA LA CO...
-
Contrato de encargo de tratamiento entre encargado y subencargado. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 31/05/2022
CONTRATO ENTRE ENCARGADO DEL TRATAMIENTO Y SUBENCARGADO DEL TRATAMIENTOEn [LOCALIDAD], a [DIA] de [MES] de [ANIO] REUNIDOS De una parte, D./Dña. [NOMBRE], mayor de edad, con NIF n.º [NÚMERO] y domicilio en [DIRECCIÓN].Y de otra, D./Dña. [...
-
Contrato de encargo de tratamiento entre responsable y encargado. Videovigilancia. (Adaptado LOPD-GDD y RGPD)
Fecha última revisión: 13/02/2019
CONTRATO DE ENCARGO DE TRATAMIENTODe una parte, EL CLIENTE O RESPONSABLE DEL FICHERO, Don/Doña [NOMBRE] con D.N.I. número [NIF], en nombre y representación de la mercantil [NOMBRE_EMPRESA] con C.I.F. número [CIF] y domicilio social en [DOMICILIO]...
-
Caso práctico: Cuestiones generales sobre la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) sobre al derecho al olvido en internet
Fecha última revisión: 21/05/2014
-
Caso práctico: Cancelación de historia clínica con motivo de reasignación de género
Fecha última revisión: 07/06/2022
-
Caso práctico: Consulta a fichero de morosos con motivo de un proceso de selección de personal sin consentimiento del candidato
Fecha última revisión: 07/06/2022
-
Caso práctico: ¿Pueden instalarse cámaras de vigilancia en un spa?
Fecha última revisión: 07/06/2022
-
ADAPTACIÓN DE UN CLUB O ASOCIACIÓN DEPORTIVA A LA NORMATIVA DE PROTECCIÓN DE DATOS
Fecha última revisión: 04/07/2019
RESUMENCuestiones generales sobre la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) sobre al derecho al olvido en internetANÁLISISDicha sentencia publicada el 13 de mayo de 2014, resolvió reconocer este derecho “al olvido” apli...
PLANTEAMIENTOSe plantea la posibilidad de cancelar la historia clínica de una persona que se ha sometido a una reasignación de género en lo referente a tratamiento psicológico, hormonal y quirúrgico.RESPUESTANo es posible proceder a la cancelac...
PLANTEAMIENTO¿Es posible consultar si una persona está incluida en un fichero de morosos con base en un proceso de selección de personal sin consentimiento del candidato?RESPUESTALa respuesta es no. Los ficheros de morosos existen con unas finalid...
PLANTEAMIENTOEl responsable de un spa se pregunta si, teniendo en cuenta la normativa en materia de protección de datos, puede instalar cámaras de vigilancia en sus instalaciones.RESPUESTASi el sistema de cámaras se instala para la seguridad de lo...
Debemos partir de la base de que un club o asociación deportiva generalmente dispone de datos de carácter personal, tanto datos de socios, como de deportistas, directivos del club e incluso, si es el caso, de datos de empleados.Además, en funció...
-
Resolución de 1 de agosto de 2018, de la Dirección General de los Registros y del Notariado, por la que se aprueba el modelo de cláusula general voluntaria relativa al tratamiento de datos de carácter personal, de conformidad con lo establecido en el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 01/08/2018
-
Resolución de ICAC, 120/diciembre 2020, 01-12-2020
Órgano: Instituto Contable Y Auditoria De Cuentas Fecha: 01/12/2020 Núm. Resolución: 120/diciembre 2020
-
Resolución de 23 de julio de 2019, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la negativa del registrador mercantil y de bienes muebles de Córdoba a inscribir el cambio de socio único de una sociedad.
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 25/09/2019
-
Resolución de 24 de enero de 2013, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la negativa del registrador de la propiedad de Motril n.º 2 a expedir determinadas notas simples informativas.
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 24/01/2013
-
Resolución de 28 de abril de 2014, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la nota de calificación del registrador de la propiedad de Burgos n.º 4 por la que se deniega la expedición de una certificación registral.
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 28/04/2014