Responsable del Tratamiento en materia de protección de datos en el Reglamento General de Protección de Datos (RGPD) y en la LO 3/2018 de 5 de diciembre (LOPDGDD)

La determinación y correcta identificación del responsable resultará esencial por cuanto que, además de que permitirá considerar aplicable el Reglamento en el caso de que desarrollase actividades en la Unión Europea - con independencia de que el tratamiento tenga lugar o no en la Unión - , aquella persona, órgano , organismo o institución se responsabilizará del cumplimiento de lo dispuesto en el apartado 1 del artículo 5, y por tanto de que los datos personales sean:

a) tratados de manera lícita, leal y transparente en relación con el interesado

b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines

c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados

d) exactos y, si fuera necesario, actualizados

e) mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas a fin de proteger los derechos y libertades del interesado.

f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas .

En relación con el concepto de responsable del tratamiento, el Dictamen 1/2010, adoptado el 16 de febrero de 2010 por el Grupo de Trabajo del artículo 29, señala que: «El concepto de responsable del tratamiento es autónomo, en el sentido de que debe interpretarse fundamentalmente con arreglo a la legislación comunitaria de protección de datos, y funcional, en el sentido de que su objetivo es asignar responsabilidades en función de la capacidad de influencia de hecho, y, por consiguiente, se basa en un análisis de los hechos más que en un análisis formal.

La definición de la Directiva consta de tres componentes fundamentales: el aspecto personal («la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo»); la posibilidad de un control plural («que solo o conjuntamente con otros»); los elementos esenciales para distinguir al responsable del tratamiento de otros agentes («determine los fines y los medios del tratamiento de datos personales»).

En relación con la determinación de los fines y los medios se señala que "el hecho de determinar los «fines» del tratamiento trae consigo la consideración de responsable del tratamiento (de facto). En cambio, la determinación de los «medios» del procesamiento puede ser delegada por el responsable del tratamiento en la medida en que se trate de cuestiones técnicas u organizativas. Sin embargo, las cuestiones de fondo que sean esenciales a efectos de la legitimidad del tratamiento -como los datos que deban tratarse, la duración de su conservación, el acceso, etc.- deben ser determinadas por el responsable del tratamiento»

El texto reproducido, además de resultar clarificador en relación con los elementos configuradores del concepto de responsable del tratamiento, reseña cual es el fin último de la existencia de esta figura, considerando como tal la atribución de responsabilidades en tanto en cuanto supone el centro de la toma de decisiones .

Ahora bien, el citado Grupo de Trabajo ha señalado que el hecho exista una figura que asuma la toma de decisiones no excluye la posibilidad de que distintos agentes estén implicados en diferentes operaciones o conjuntos de operaciones en materia de datos personales. Estas operaciones pueden producirse simultáneamente o en distintas fases. En este sentido, resulta necesario tomar en consideración el criterio del TJUE expuesto en la Sentencia de 13 de mayo de 2014 en la que el Tribunal declaró que la normativa comunitaria "no exige que el tratamiento de datos personales controvertido sea efectuado «por» el propio establecimiento en cuestión, sino que se realice «en el marco de las actividades» de éste" . Así, la Sentencia expresa que el objetivo de la norma es "garantizar una protección eficaz y completa de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales, ésta expresión no puede ser objeto de una interpretación restrictiva".

La protección de los derechos y libertades de las personas físicas con respecto al tratamiento de datos personales exige la adopción de medidas técnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos del presente Reglamento. A fin de poder demostrar la conformidad con el presente Reglamento, el responsable del tratamiento debe adoptar políticas internas y aplicar medidas que cumplan en particular los principios de protección de datos desde el diseño y por defecto. Dichas medidas podrían consistir, entre otras, en reducir al máximo el tratamiento de datos personales, seudonimizar lo antes posible los datos personales, dar transparencia a las funciones y el tratamiento de datos personales, permitiendo a los interesados supervisar el tratamiento de datos y al responsable del tratamiento crear y mejorar elementos de seguridad.

En cuanto los responsables del tratamiento con establecimientos en más de un Estado miembro, se considerará como "establecimiento principal", el lugar de su administración central en la Unión, salvo que las decisiones sobre los fines y los medios del tratamiento se tomen en otro establecimiento del responsable en la Unión y este último establecimiento tenga el poder de hacer aplicar tales decisiones, en cuyo caso el establecimiento que haya adoptado tales decisiones se considerará establecimiento principal.

Por lo que respecta a la LOPDGDD, además de remisiones a la normativa del RGPD, a lo largo de la Ley básicamente se hace mención a las posibles responsabilidades o exención de responsabilidades del mismo, así como a las obligaciones para dar cumplimiento a sus deberes, como por ejemplo al deber de información facilitando al afectado la información básica indicada en el RGPD, el bloqueo de los datos cuando proceda su rectificación o supresión, etc. (véase el tema correspondiente: Responsabilidad del responsable del tratamiento).

Téngase en cuenta por tanto que las organizaciones que determinan los medios para procesar datos personales son responsables, sin importar si recogen o no directamente los datos de los interesados, y que, tendrá la consideración de responsable del tratamiento el que, figurando como encargado, utilizase los datos para sus propias finalidades o el que, en su propio nombre y sin que conste que actúa por cuenta de otro, establezca relacionales con los afectados (aún cuando exista un contrato de encargo de tratamiento).

En cuanto a las infracciones y sanciones, se recomienda consultar en la base el tema correspondiente a las mismas.