El GDPR define una clara diferencia entre un responsable del tratamiento y un encargado del tratamiento de datos, y no todas las organizaciones involucradas en el tratamiento de datos tienen las mismas responsabilidades. Los requisitos de cumplimiento difieren dependiendo del tipo de organización que sea (o ambas).
Comprender la diferencia entre responsables del tratamiento y encargados del tratamiento de datos es vital para el cumplimiento del GDPR. Alegar desconocimiento no es una opción: usted es responsable de asegurarse de cumplir con el GDPR y de poder demostrar dicho cumplimiento a las autoridades de supervisión.
A continuación, cubriremos las diferencias clave entre responsables y encargados del tratamiento de datos, así como sus responsabilidades. Sin embargo, es importante hablar con su equipo legal o asesor externo para saber dónde se encuentra su organización.
Responsables del Tratamiento de Datos vs Encargados del Tratamiento de Datos Bajo el GDPR
Bajo el GDPR, un responsable del tratamiento de datos es una organización o individuo que decide cómo y por qué se tratarán los datos personales.
Un encargado del tratamiento de datos es cualquier tercero que procese datos personales en nombre de un responsable del tratamiento de datos. Un encargado del tratamiento de datos solo debe procesar datos personales según las instrucciones del responsable del tratamiento, a menos que la ley requiera lo contrario.
Los responsables del tratamiento de datos tienen mayores responsabilidades para el cumplimiento del GDPR, pero los encargados del tratamiento de datos aún están obligados a garantizar que cualquier dato procesado lo sea de acuerdo con el GDPR.
Tenga en cuenta que es posible ser tanto responsable como encargado del tratamiento de datos. Para saberlo con certeza, es importante hablar con su equipo legal o asesor externo.
Ejemplo
Aclararemos la diferencia entre responsables del tratamiento y encargados del tratamiento de datos con un ejemplo basado en uno de la Oficina del Comisionado de Información del Reino Unido.
Una firma de servicios informáticos almacena datos archivados en nombre de un banco. Aunque la firma utiliza su propia experiencia técnica para ayudar a decidir la mejor manera de almacenar los datos de manera segura y accesible, el banco controla por qué y cómo se usa la información y determina cuánto tiempo se conserva. Por lo tanto, el banco es presumiblemente el responsable del tratamiento de datos porque mantiene el control exclusivo sobre por qué se procesan los datos. La firma de servicios informáticos es presumiblemente el encargado del tratamiento de datos porque, si bien tiene cierto control sobre cómo se procesan los datos, no controla por qué se procesan.
Requisitos para Responsables del Tratamiento de Datos Bajo el GDPR
Los responsables del tratamiento de datos deben cumplir con los niveles más estrictos de cumplimiento del GDPR.
No solo se les exige que demuestren activamente el cumplimiento total de todos los principios de protección de datos, sino que también son responsables del cumplimiento del RGPD de cualquier procesador de datos que utilicen.
El artículo 24 establece los siguientes requisitos para los controladores de datos. Deben:
- Tener en cuenta el propósito, naturaleza, contexto y alcance del procesamiento de datos.
- Considerar la probabilidad y la gravedad del riesgo para los derechos y libertades de las personas.
- Implementar medidas adecuadas y efectivas que demuestren el cumplimiento de las actividades de procesamiento de datos con la normativa RGPD.
- Revisar y actualizar estas medidas cuando sea necesario.
Requisitos del Procesador de Datos RGPD
Los procesadores de datos no tienen el mismo nivel de obligaciones legales que los controladores bajo el RGPD.
Sin embargo, deben cumplir con las obligaciones del controlador según lo establecido en un acuerdo escrito vinculante. Esto incluye actuar solo según las instrucciones documentadas del controlador sobre qué datos pueden procesar, por qué y durante cuánto tiempo.
Al procesar datos según esas instrucciones, el procesador de datos debe implementar medidas organizativas y técnicas adecuadas para cumplir con las directrices establecidas por el RGPD.
Una vez que se haya completado el procesamiento de datos, el procesador de datos también debe devolver los datos personales al controlador o eliminarlos, a menos que la ley exija almacenarlos.
¿Cuál es la diferencia entre controlador de datos y procesador de datos bajo el RGPD?
Bajo el RGPD, un controlador de datos decide cómo y por qué se procesarán los datos personales, mientras que un procesador de datos procesa datos personales en nombre de un controlador de datos.
¿Qué es el acuerdo RGPD entre controlador y procesador?
El acuerdo RGPD entre un controlador de datos y un procesador es un acuerdo de procesamiento de datos. Bajo el RGPD, se requiere que los controladores de datos tengan acuerdos de procesamiento de datos con todos los procesadores de datos. Estos acuerdos deben cumplir con los siguientes requisitos establecidos en el Artículo 28 al declarar:
- el objeto y la duración del procesamiento
- la naturaleza y el propósito del procesamiento
- el tipo de datos personales y categorías de sujetos de datos
- las obligaciones y los derechos del controlador
¿Puede ser tanto controlador como procesador bajo el RGPD?
Puedes ser tanto un controlador de datos como un procesador de datos bajo el RGPD, pero solo para actividades de procesamiento diferentes. Por ejemplo, puedes ser un controlador de datos cuando procesas los datos de tus empleados y un procesador de datos cuando procesas datos personales en nombre de y según las instrucciones de un controlador de datos.
¿Cuál es un ejemplo de un controlador y un procesador?
Supongamos que una empresa SaaS firma un contrato con una empresa de nóminas y les instruye cuándo y cómo pagar a sus empleados. Entonces, en este ejemplo, la empresa SaaS es un controlador de datos y la empresa de nóminas es un procesador de datos.
