El Reglamento General de Protección de Datos (RGPD), de aplicación desde mayo de 2018, recoge, como hacía la normativa europea anterior, dos figuras en el marco del tratamiento de datos personales: el responsable de tratamiento y el encargado del tratamiento.
- El responsable del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento de esos datos personales; en otras palabras, el responsable del tratamiento es el que decide qué hacer con los datos personales que trata en su organización.
- Por su parte, el encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento, esto es, es la entidad que realiza alguna concreta operación sobre determinados datos personales siguiendo las instrucciones del responsable del tratamiento.
Un ejemplo de esta relación entre el responsable del tratamiento y el encargado del tratamiento es la existente en una asesoría laboral: el responsable del tratamiento facilita determinada información personal sobre sus trabajadores para que la asesoría laboral haga unas determinadas operaciones sobre estos datos, por ejemplo, la confección de las nóminas.
En este contexto, esa asesoría laboral estaría realizando un tratamiento sobre los datos personales de los trabajadores de su cliente, convirtiéndose en la encargada del tratamiento respecto de esos datos, siendo su cliente el responsable del tratamiento.
La nueva normativa de protección de datos ha venido a reforzar esta relación jurídica, recogiendo las obligaciones que ya se establecían en la normativa anterior, como la existencia de un contrato entre el responsable del tratamiento y el encargado del tratamiento donde conste el objeto del tratamiento, la duración, finalidad del tratamiento, tipo de datos personales sobre los que se realizarán las operaciones del tratamiento, respeto a la confidencialidad, además de una indicación expresa de que el encargado tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable y una relación de medidas de seguridad que el encargado adoptará para proteger la información personal a la que tenga acceso o le sea facilitada, no siendo válida la típica cláusula en la que se establece que el encargado del tratamiento adopta medidas para proteger la información, sino que es necesario concretar qué medidas.
Pero, además, el RGPD ha establecido la necesidad de que el responsable del tratamiento elija a un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos de la normativa de protección de datos y garantice la protección de los derechos de los afectados.
Esto implica que el responsable del tratamiento deberá auditar, al menos superficialmente, al encargado del tratamiento para documentar lo apropiado o no de la elección como encargado.
Esta falta de diligencia a la hora de elegir un encargado del tratamiento solvente en materia de protección de datos puede acarrear responsabilidad al responsable del tratamiento pues suya era precisamente la responsabilidad de elegir un encargado que ofreciera estas garantías.
De hecho, es el propio RGPD el que indica que el encargado del tratamiento debe poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el RGPD y va un paso más allá, al permitir que el responsable pueda exigir realizar auditorías o inspecciones para verificar este cumplimiento.
Es por ello por lo que las asesorías de empresas deben estar en condiciones de acreditar el cumplimiento del RGPD frente a sus clientes no siendo suficiente la mera declaración por parte de la asesoría de este cumplimiento, sino que deben existir instrumentos, protocolos o informes donde se documenten las acciones concretas llevadas a cabo por la asesoría para cumplir con la normativa.