Los responsables y los encargados del tratamiento de datos cumplen una función clave y de gran importancia para aplicar correctamente la Ley Orgánica de Protección de Datos y garantía de derechos digitales.
En líneas generales y a pesar de tener obligaciones comunes, las principales diferencias entre estas dos figuras son que:
- El encargado del tratamiento, como persona o figura jurídica, suele ser externa a la empresa, como por ejemplo puede ser una asesoría jurídica que trata los datos en base a lo dispuesto por el responsable de la base de datos;
- El responsable del tratamiento por lo general trabaja dentro de la empresa y determina cómo deberán tratarse los datos personales;
Aplicado a un ejemplo práctico, imaginemos que una tienda online contrata a una asesoría contable para gestionar la facturación de sus clientes y las nóminas de sus propios empleados. En este caso, el responsable es la propia tienda online que autoriza al encargado de tratamiento (la asesoría contable) para dichas funciones. Es decir, la asesoría contable actúa por cuenta de la propia tienda online.
En este tipo de relación contractual, establecida a través de un contrato o acto jurídico, será el responsable el que establecerá cómo se gestiona el tratamiento de los datos cuando finaliza la relación contractual. De esta manera, siguiendo el ejemplo anterior, cuando la tienda online deje de trabajar con la asesoría contable que contrató, el responsable determinará si los datos se devuelven a su propietario, si se destruyen (teniendo en cuanta los plazos de conservación necesarios para fines legales) o si se traspasan a un nuevo encargado.
El encargado de los datos por su parte podrá conservar los datos, bloqueados, hasta que finalice el plazo en el que puedan derivarse responsabilidades legales del tratamiento, en base a la relación contractual, en los casos en los que se tenga que demostrar las acciones realizadas.
¿Qué funciones comunes tienen el responsable y el encargado de tratamiento de datos?
- Determinar las medidas organizativas y técnicas que garanticen un tratamiento de datos correcto en base a la normativa aplicable;
- Valorar la necesidad de realizar evaluaciones de impacto teniendo en cuanta los riesgos del tratamiento de datos cuando el tratamiento de datos;
- Pueda tener consecuencias de discriminación, usurpación de identidad, pérdidas financieras, pérdida de confidencialidad da datos protegidos por el secreto profesional y daños económicos o morales, entre otros;
- Afecte a los derechos y libertades de los usuarios, privándolos de ellos o impidiendo que puedan controlar sus propios datos personales;
- Implique la elaboración de perfiles que analizan aspectos del usuario como sus gustos, preferencias, localización, comportamiento, rendimiento de trabajo o situación económica;
- Sea masivo o afecte a grupos especialmente vulnerables como pueden ser los menores de edad o personas con discapacidad;
- Requiera de una transferencia a nivel internacional con Estados que hayan garantizado un nivel adecuado de protección;
- Elaborar el registro de las actividades de tratamiento que especificará:
- Las finalidades.
- Actividades de tratamiento.
- Comunicar, cuando se trate de empresas o entidades en las que se ha designado un delegado de protección de datos, cualquier ampliación, modificación o exclusión en el registro de datos;
Por su parte, el responsable de tratamiento también estará obligado a bloquear datos en los casos en los que sea necesario rectificarlos o suprimirlos. Esta acción implica identificar los datos en concreto que se deben bloquear y adaptar las medidas necesarias para impedir su tratamiento, facilitando a su vez que puedan ser consultados o visualizados. Estos datos únicamente podrán ser tratados para fines legales o judiciales por parte de tribunales o de las Administraciones Públicas. Una vez agotados los plazos previstos para este control, los datos se destruirán.
¿Cómo afecta el régimen sancionador a las figuras del responsable y el encargado del tratamiento de datos?
Tanto el responsable como el encargado del tratamiento están sujetos a sanciones cuando se cometan las infracciones recogidas por la normativa, destacando entre otras:
- Tratar datos sin haber recabado correctamente el consentimiento;
- Impedir al afectado que ejerza sus derechos en materia de protección de datos;
- No aplicar las medidas necesarias para un correcto tratamiento y protección de los datos;
- Contratar responsables de tratamiento que no ofrezcan garantías;
- Encargar el tratamiento de datos a un responsable sin formalizar un contrato o autorización;
- Incumplir el deber de notificar violaciones de seguridad a las autoridades competentes;
- No realizar evaluaciones de impacto (obligación del responsable del tratamiento) en los casos en los que la normativa las marca como requisitos necesarios por el alto riesgo que conlleva el tratamiento de datos para los derechos y libertades de los usuarios;
El proceso sancionador contempla una resolución que incluye un apercibimiento y que se comunicará al responsable o al encargado del tratamiento. En esta notificación se establecen una serie de medidas para corregir o subsanar la infracción.
En el caso de que las infracciones cometidas por parte de autoridades o directivos en las que haya pruebas de que no se siguieron las recomendaciones o informes técnicos que indicaban cómo debían actuar, se podrá, además de la sanción, aplicar una amonestación con denominación del cargo responsable que se publicará en el BOE o en el boletín autonómico que le correspondiera.
En lo relativo a las cuantías, las multas administrativas podrán ser de hasta 10.000.000€ o un valor de, cómo máximo el 2% del volumen de negocio (en base a los resultados financieros obtenidos en el ejercicio anterior). Para empresas, las multas serán de hasta 20.000.000€ o lo equivalente al 4% del volumen anual de su negocio.