Responsable del tratamiento en materia de protección de datos en el Reglamento General de Protección de Datos (RGPD) y en la LO 3/2018 de 5 de diciembre (LOPDGDD)

Encontramos la definición de responsable del tratamiento o responsable en el art. 4.7) del RGPD; conforme al mencionado artículo se denomina responsable: «la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros».

Artículo 24 del RGPD

«1. Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.

2. Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas en el apartado 1 se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos.

3. La adhesión a códigos de conducta aprobados a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrán ser utilizados como elementos para demostrar el cumplimiento de las obligaciones por parte del responsable del tratamiento».

Así, este artículo dispone que el responsable del tratamiento aplicará las medidas técnicas y organizativas adecuadas a fin de garantizar y poder demostrar que el tratamiento es conforme al RGPD, las cuales se revisarán y actualizarán cuando sea preciso.

El responsable del tratamiento a la hora de aplicar las medidas técnicas y organizativas tendrá en cuenta las siguientes circunstancias:

• El ámbito.
• El contexto.
• Los fines del tratamiento.
• Los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas.

Asimismo, cuando sean proporcionadas con respecto a las actividades el tratamiento, el responsable del tratamiento aplicará las oportunas políticas de protección de datos.

La adhesión a códigos de conducta del artículo 40 del RGPD, o a un mecanismo de certificación del artículo 42 del mismo texto legal, puede ser utilizada como elemento probatorio del cumplimiento de las obligaciones por el responsable del tratamiento.

Artículo 25 del RGPD

«1. Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.

2. El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.

3. Podrá utilizarse un mecanismo de certificación aprobado con arreglo al artículo 42 como elemento que acredite el cumplimiento de las obligaciones establecidas en los apartados 1 y 2 del presente artículo».

Igualmente, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el propio tratamiento, medidas técnicas y organizativas adecuadas, como la seudonimización.

Para la realización de lo anterior, el responsable del tratamiento tendrá en cuenta los siguientes elementos:

• El estado de la técnica.
• El coste de la aplicación.
• La naturaleza, el ámbito, el contexto y los fines del tratamiento.
• Los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas.

A TENER EN CUENTA.  El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas (artículo 25.2 del RGPD).

A tenor de lo anterior, es importante tener claras las diferencias existentes entre la figura del responsable del tratamiento y del responsable del fichero, en este sentido, la sentencia del Tribunal Supremo n.º 772/2020, de 15 de junio, ECLI:ES:TS:2020:1562, declara que:

«(...) el responsable del fichero es quien decide la creación del fichero y su aplicación, y también su finalidad, contenido y uso, es decir, quien tiene capacidad de decisión sobre la totalidad de los datos registrados en dicho fichero. El responsable del tratamiento, sin embargo, es el sujeto al que cabe imputar las decisiones sobre las concretas actividades de un determinado tratamiento de datos, esto es, sobre una aplicación específica. Se trataría de todos aquellos supuestos en los que el poder de decisión debe diferenciarse de la realización material de la actividad que integra el tratamiento».

En la misma línea, la sentencia de la Audiencia Nacional, rec. 136/2019, de 22 de julio de 2020, ECLI:ES:AN:2020:2207, dictada con ocasión de un procedimiento contencioso de una sociedad mercantil contra la resolución de la directora de la AEPD que sanciona a dicha entidad por una infracción grave.

CUESTIONES

1. ¿Cómo podrá acreditarse el cumplimiento de las obligaciones de los apartados 1 y 2 del artículo 25 del RGPD?

Podrá utilizarse como elemento acreditativo de las citadas obligaciones un mecanismo de certificación aprobado de acuerdo con el artículo 42 del RGPD (artículo 25.3 del RGPD).

2. ¿Qué es la seudonimización?

Según la definición dispuesta en el artículo 4 del RGPD, la seudonimización es «(...) el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable».

No obstante, la seudonimización se menciona en numerosas ocasiones a lo largo del articulado del reglamento que nos ocupa como en:

a) Licitud del tratamiento [artículo 6.4.e) del RGPD].

b) Protección de datos desde el diseño y por defecto (artículo 25.1 del RGPD).

c) Seguridad del tratamiento [artículo 32.1.a) del RGPD].

d) Códigos de conducta [artículo 40.2.d) del RGPD].

e) Garantías y excepciones aplicables al tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos (artículo 89.1 del RGPD).

3. ¿Qué sucederá cuando el responsable del tratamiento no establecido en la Unión Europea trate datos personales de interesados que se encuentren en la Unión Europea?

El considerando 80 del RGPD declara que el responsable del tratamiento no establecido en la Unión Europea que «(...) esté tratando datos personales de interesados que se encuentran en la Unión y cuyas actividades de tratamiento están relacionadas con la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si se requiere un pago por parte de estos, o con el control de su comportamiento en la medida en que este tenga lugar en la Unión, debe designar a un representante, a menos que el tratamiento sea ocasional, no incluya el tratamiento a gran escala de categorías especiales de datos personales o el tratamiento de datos personales relativos a condenas e infracciones penales, y sea improbable que entrañe un riesgo para los derechos y libertades de las personas físicas, vista la naturaleza, el contexto, el ámbito y los fines del tratamiento, o si el responsable del tratamiento es una autoridad u organismo público».

Artículo 26 del RGPD

«1. Cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento serán considerados corresponsables del tratamiento. Los corresponsables determinarán de modo transparente y de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por el presente Reglamento, en particular en cuanto al ejercicio de los derechos del interesado y a sus respectivas obligaciones de suministro de información a que se refieren los artículos 13 y 14, salvo, y en la medida en que, sus responsabilidades respectivas se rijan por el Derecho de la Unión o de los Estados miembros que se les aplique a ellos. Dicho acuerdo podrá designar un punto de contacto para los interesados.

2. El acuerdo indicado en el apartado 1 reflejará debidamente las funciones y relaciones respectivas de los corresponsables en relación con los interesados. Se pondrán a disposición del interesado los aspectos esenciales del acuerdo.

3. Independientemente de los términos del acuerdo a que se refiere el apartado 1, los interesados podrán ejercer los derechos que les reconoce el presente Reglamento frente a, y en contra de, cada uno de los responsables».

A TENER EN CUENTA. El encargado del tratamiento y cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo podrán tratar dichos datos siguiendo instrucciones del responsable, a no ser que estén obligados a ello en virtud del derecho de la Unión o de los Estados miembros (artículo 29 del RGPD).

CUESTIONES

1. ¿Deberán cooperar el responsable y el encargado del tratamiento con la autoridad de control?

Sí, el responsable, el encargado del tratamiento y, en su caso, sus representantes «cooperarán con la autoridad de control que lo solicite en el desempeño de sus funciones» (artículo 31 del RGPD).

2. ¿Cómo se determinarán las responsabilidades del artículo 26.1 del RGPD?

Tal y como dispone el artículo 29 de la LOPDGDD, «La determinación de las responsabilidades a las que se refiere el artículo 26.1 del Reglamento (UE) 2016/679 se realizará atendiendo a las actividades que efectivamente desarrolle cada uno de los corresponsables del tratamiento».

3. ¿Qué otros preceptos del RGPD están relacionados con el responsable del tratamiento?

Otros preceptos en relación con el responsable del tratamiento son los siguientes:

- Representantes de responsables o encargados del tratamiento no establecidos en la Unión (artículo 27 del RGPD).

- Registros de las actividades del tratamiento (artículo 30 del RGPD).

(Aspectos analizados posteriormente).

4. ¿Qué otros preceptos de la LOPDGDD están relacionados con el responsable del tratamiento?

Otros preceptos en relación con el responsable del tratamiento son los siguientes:

- Obligaciones generales del responsable y encargado del tratamiento (artículo 28 de la LOPDGDD).

- Representantes de los responsables o encargados del tratamiento no establecidos en la Unión Europea (artículo 30 de la LOPDGDD).

- Registro de actividades de tratamiento (artículo 31 de la LOPDGDD).

- Bloqueo de datos (artículo 32 de la LOPDGDD).

(Aspectos analizados posteriormente).