Diferencia entre responsable de tratamiento y encargado de tratamiento de datos

Apreciado Leonardo,

En primer lugar te invito a leer este resumen de las obligaciones que el Reglamento General de Protección de Datos (RGPD) impone a partir del 25/05/2018 a todas las empresas y personas físicas que de alguna manera gestionan datos de carácter personal en el ámbito empresarial.

En cuanto a tu pregunta sobre la diferencia entre el responsable y los encargados de tratamiento de datos, a continuación te haré un breve resumen. Si quieres ver como aplicamos en Futur Finances la protección de los datos de nuestros usuarios y clientes, mira esta url.

Tu empresa es el responsable de tratamiento, ya que eres la persona física o jurídica que decide sobre el tratamiento de los datos; qué se va hacer con ellos, si se van a conservar, se van a ceder o se van a eliminar.

Las gestorías fiscales, contables, abogados, economistas, y cualquier empresa a la que cedas datos de tus clientes, empleados, proveedores o usuarios personas físicas, tratando sus datos de alguna manera (el tratamiento de datos es cualquier operación o procedimiento técnico, sea o no automatizado, que implique la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, bloqueo, modificación, o cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias) son encargados de tratamiento.

En el contrato que has de hacer firmar a los encargados de tratamiento, entre otras cosas, debes relacionar las siguientes obligaciones:

1. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.
2. Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento (tu).
3. Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable.
4. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. Si el encargado quiere subcontratar tiene que informar al responsable y solicitar su autorización previa.
5. Mantener el deber de secreto respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice el contrato.
6. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.
7. Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.
8. Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.
9. Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento y portabilidad de datos ante el encargado de tratamiento, éste debe comunicarlo por correo electrónico a la dirección que indique el responsable. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.
10. Notificación de violaciones de la seguridad de los datos.

Si bien no lo has pedido, quiero definirte algunos términos relacionados:

Un dato de carácter personal es cualquier información numérica (por ejemplo un teléfono), alfanumérica (DNI), alfabética (su nombre y apellidos), gráfica, fotográfica, acústica o de cualquier otro tipo de una persona física identificada o identificable (previa averiguación necesaria, sin un coste y esfuerzo desproporcionados).

Por otro lado, un fichero de datos de carácter personal es todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados. Una carpeta con documentación clasificada, una agenda o un programa tipo Excel pueden ser ficheros de datos.

Espero haberte aclarado algunos conceptos muy importantes de la protección de datos.