¿Quién es el responsable del tratamiento?
El artículo 4.7 del Reglamento (UE) 2016/679, de 27 de abril de 2016 (en adelante, RGPD) establece que el responsable del tratamiento puede ser tanto una persona física como una persona jurídica o una Administración Pública que determina tanto la finalidad los medios que se utilicen para el tratamiento de los datos personales de los interesados.
Al respecto, el Grupo de Trabajo del Artículo 29 (GT29), que se integró desde el 25 de mayo de 2018 en el Comité Europeo de Protección de Datos (CEPD), publicó un relevante dictamen sobre esta figura explicando que el papel primero y primordial del concepto de responsable del tratamiento es determinar quién debe asumir la responsabilidad del cumplimiento de las normas sobre protección de datos y de qué manera los interesados pueden ejercer sus derechos en la práctica. En otras palabras, debe asignar la responsabilidad. Se trata de una definición muy amplia, ya que cualquier persona física o jurídica, en los términos indicados, que decida sobre el tratamiento de los datos personales será considerada responsable del tratamiento.
La definición de la figura del responsable del tratamiento deja clara la diferencia con el encargado del tratamiento y que es la relativa a que este último se limita a tratar los datos personales por cuenta de aquél, es decir, sin decidir sobre el tratamiento de los datos personales, salvo por cuestiones técnicas y organizativas que le pudiera delegar el responsable del tratamiento.
Y también, es importante tener en consideración que la existencia del encargado del tratamiento depende de una decisión del responsable del tratamiento que consiste en decidir si trata los datos personales por sí mismo o encarga el tratamiento de los datos personales a alguien, ya sea una persona física o jurídica, ajena a la organización del responsable del tratamiento.
¿Cómo se aplica el RGPD a responsables del tratamiento establecidos fuera de la Unión Europea?
Una cuestión importante a tener en consideración es la relativa al ámbito de aplicación del RGPD, ya que, con carácter general, se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable (apartado 1 del artículo 3 del RGPD), con independencia de que el tratamiento tenga lugar en la Unión o no. Es decir, lo importante es atender a dónde está el establecimiento del responsable del tratamiento porque ello va a determinar que se aplicable el RGPD incluso si el responsable del tratamiento recurre a un encargado del tratamiento que no esté establecido en el territorio de la Unión Europea, lo que además supondría una transferencia internacional de datos.
Por lo que se refiere al concepto de establecimiento del responsable del tratamiento, el Considerando 22 explica que Un establecimiento implica el ejercicio de manera efectiva y real de una actividad a través de modalidades estables. La forma jurídica que revistan tales modalidades, ya sea una sucursal o una filial con personalidad jurídica, no es el factor determinante al respecto.
Y si el responsable del tratamiento estuviera establecido en varios Estados miembros, por establecimiento principal se entiende, según la definición dada en la letra a) del artículo 4.16) del RGPDen lo que se refiere a un responsable del tratamiento con establecimientos en más de un Estado miembro, el lugar de su administración central en la Unión, salvo que las decisiones sobre los fines y los medios del tratamiento se tomen en otro establecimiento del responsable en la Unión y este último establecimiento tenga el poder de hacer aplicar tales decisiones, en cuyo caso el establecimiento que haya adoptado tales decisiones se considerará establecimiento principal.
Por último, hay dos casos en los que el RGPD se aplica también a un responsable del tratamiento que no esté establecido en la Unión Europea y que, conforme al artículo 3, apartado 2, son los relativos a que sus actividades de tratamiento de datos personales estén relacionadas con:
- • La oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o
- • El control de su comportamiento, en la medida en que este tenga lugar en la Unión Europea.
¿En qué consiste el principio de responsabilidad de esta figura?
El responsable del tratamiento tiene que adoptar las medidas técnicas y organizativas adecuadas para cumplir y demostrar el cumplimiento de la normativa aplicable sobre protección de datos personales. En la determinación de cuáles sean las medidas a aplicar, el responsable del tratamiento debe tener en consideración la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas (apartado 1 del artículo 24 del RGPD). En particular, deberá tener en cuenta los mayores riesgos para los derechos y libertades fundamentales de los interesados, conforme al listado que se incluye en el artículo 28 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Y tendrá que revisar y actualizar estas medidas cuando sea necesario, lo que implica que deberá atender en todo momento al riesgo que implique el tratamiento de datos personales para el interesado.
Para la aplicación de las medidas técnicas y organizativas, cuando sean proporcionadas, el responsable del tratamiento podrá aplicar las oportunas políticas de protección de datos (apartado 2 del artículo 24 del RGPD). Se trata de que, en virtud del principio de responsabilidad proactiva (accountability) el responsable del tratamiento cumpla y sea capaz de demostrar el cumplimiento.
Además, el responsable del tratamiento tiene que asegurarse de que se cumpla con los requisitos exigibles en virtud de la normativa aplicable a lo largo de todo el ciclo de vida de los datos personales y de la cadena de contratación para dicho tratamiento. Es decir, si recurre a uno o varios responsables del tratamiento, e incluso cuando estos, a su vez, recurren a otro encargado del tratamiento, tiene que asegurarse, a través del correspondiente contrato u otro acto jurídico que les vincule jurídicamente, del cumplimiento.
Este principio de responsabilidad proactiva no es nuevo en materia de protección de datos personales. Al respecto, el Grupo de Trabajo del Artículo 29, en su Dictamen 3/2010 sobre el principio de responsabilidad, WP 173, adoptado el 13 de julio de 2010, indicó que este principio proviene del mundo anglosajón donde es de uso general y donde se da una comprensión ampliamente compartida de su significado, aunque la definición exacta de «responsabilidad» resulta compleja en la práctica.
¿Qué obligaciones tiene el responsable del tratamiento en el RGPD?
En virtud del principio de responsabilidad proactiva, el responsable del tratamiento tendrá que adoptar, en su caso, las medidas técnicas y organizativas relativas a:
- • Protección de datos desde el diseño y por defecto (artículo 25 del RGPD): de manera que, considerando el riesgo derivado del tratamiento, en virtud del principio de protección de datos desde el diseño el responsable del tratamiento adopte medidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento. Y, en virtud de la obligación relativa a la protección de datos por defecto, garantice que por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento (art. 25 del RGPD).
- • Elegir únicamente a un encargado del tratamiento que ofrezca garantías suficientes (artículo 28 del RGPD y artículo 33 de la LOPDGDD): dichas garantías se refieren a aplicar medidas técnicas y organizativas apropiadas y asegurarse de que el contrato u otro acto jurídico vinculante que le vincule jurídicamente con el encargado del tratamiento incluya, entre otras cuestiones, las instrucciones para el tratamiento de los datos y demás aspectos previstos en el RGPD.
- • Tratamiento bajo su autoridad (artículo 29 del RGPD): de manera que cualquier persona que trate datos personales bajo su autoridad estén obligada a seguir las instrucciones del responsable.
- • Registro de las actividades del tratamiento (artículo 30 del RGPD y artículo 31 de la LOPDGDD): al menos, con la información que indica el RGPD y que servirá también para demostrar el cumplimiento. Esta obligación no será exigible cuando emplee a menos de 250 personas, peor a su vez, incluso en este caso tendrá que elaborar el registro de actividades si el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10 (apartado 5 del artículo 30 del RGPD). Además, la LOPDGDD obliga a determinadas entidades del sector público a publicar un inventario de sus tratamientos de datos personales que deberá ser accesible por medios públicos.
- • Cooperar con la autoridad de control (artículo 31 del RGPD): de manera que facilitará la información que le solicite la autoridad de protección de datos y cumplirá con lo que esta ordene en cada caso.
- • Seguridad del tratamiento (artículo 32 del RGPD): para, en atención al riesgo del tratamiento y los factores previstos en el RGPD, tales como el estado de la técnica o el coste de aplicación, se garantice un nivel adecuado, incluida la confidencialidad, para evitar la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, susceptibles en particular de ocasionar daños y perjuicios físicos, materiales o inmateriales (considerando 83 del RGPD).
- • Notificación de una violación de la seguridad de los datos personales a la autoridad de protección de datos (artículo 33 del RGPD): lo que tendrá que hacerse ante la autoridad de protección de datos competente sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella. Esta obligación no sea exigible cuando sea improbable que la violación sea un riesgo para los derechos y libertades fundamentales de las personas físicas, el responsable del tratamiento tendrá que notificarla a la autoridad de protección de datos.
- • Comunicación de una violación de la seguridad de los datos personales al interesado (artículo 34 del RGPD): Si es probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas. La obligación no será aplicable cuando el responsable del tratamiento hubiera adoptado medidas al respecto, tendrá que comunicarla al interesado cuando sea probable que entrañe un alto riesgo para los derechos y libertades de los interesados.
- • Llevar a cabo una evaluación de impacto relativa a la protección de datos (artículo 35 del RGPD): cuando sea probable que el tratamiento de los datos personales implique un alto riesgo para los interesados.
- • Designación del delegado de protección de datos (artículos 37 a39 del RGPD y artículos 34 a37 de la LOPDGDD): ya sea de manera obligatoria, en los casos indicados en el RGPD, o voluntaria, considerando tanto su perfil, como las obligaciones en relación con el mismo, su posición y sus funciones.
¿A qué responsabilidad está sujeto el responsable en caso de incumplimiento?
En caso de incumplimiento o infracción de la normativa aplicable sobre protección de datos, el responsable del tratamiento queda sujeto al régimen sancionador previsto al respecto. En el caso del RGPD, cuando se trate de un responsable que sea una empresa, podría implicar las siguientes multas administrativas:
- • De diez millones de euros (10.000.000 €) o una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, cuando incumpla con las obligaciones previstas en el artículo 83.4 del RGPD.
- • De veinte millones de euros (20.000.000 €) o una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, cuando incumpla con las obligaciones previstas en el artículo 83.5 del RGPD o cuando incumpla con las resoluciones de la autoridad de protección de datos mencionadas en el apartado 2 del artículo 58 del RGPD, como por ejemplo no atender una resolución relativa a cumplir con las solicitudes de ejercicio de los derechos del interesado.
Al respecto, la LOPDGDD especifica otras infracciones que podrán ser consideradas muy graves (artículo 72 LOPDGDD), graves (artículo 73 LOPDGDD) o leves (artículo 74 LOPDGDD), que podrán ser sancionadas, respectivamente, con multas por un importe superior a 300.000 euros, que prescriben a los tres años; por un importe comprendido entre 40.001 y 300.000 euros, que prescriben a los dos años, y por un importe igual o inferior a 40.000 euros, que prescribe al año.
Y en el caso de las Administraciones Públicas, en España, el incumplimiento podría dar lugar a una resolución de la autoridad de protección de datos que declare la infracción.
Recuerde que…
- • El responsable decide sobre el tratamiento de los datos personales, lo que significa que determine los fines y los medios del tratamiento.
- • El principio de responsabilidad proactiva exigible que el responsable cumpla y sea capaz de demostrar el cumplimiento de la normativa sobre protección de datos.
- • El incumplimiento de las obligaciones que tiene el responsable del tratamiento puede dar lugar a la comisión de una infracción.
- • Las empresas infractoras podrán ser objeto de una multa administrativa y las Administraciones Públicas de la declaración de la infracción.