En el marco del Reglamento General de Protección de Datos (RGPD), es fundamental distinguir entre las figuras del responsable del tratamiento y el encargado del tratamiento. Aunque ambos participan en el tratamiento de datos personales, sus funciones, obligaciones y responsabilidades legales son diferentes. Conocer bien estas diferencias es clave para garantizar el cumplimiento normativo y evitar sanciones.
¿Qué es el responsable del tratamiento?
El responsable del tratamiento es la persona física o jurídica, autoridad pública o entidad que determina los fines y medios del tratamiento de datos personales. En otras palabras, decide para qué se recogen los datos y cómo se van a utilizar.
Ejemplos:
-
Una clínica que gestiona historiales médicos de sus pacientes.
-
Una tienda online que procesa datos de clientes para tramitar pedidos.
Obligaciones principales del responsable
-
Garantizar que el tratamiento tenga una base legal (consentimiento, obligación legal, interés legítimo, etc.).
-
Cumplir con los principios del RGPD (minimización, limitación de la finalidad, exactitud, etc.).
-
Facilitar el ejercicio de los derechos ARSULIPO a los usuarios.
-
Adoptar medidas técnicas y organizativas adecuadas para proteger los datos.
¿Qué es el encargado del tratamiento?
El encargado del tratamiento es la persona o empresa que trata los datos personales por cuenta del responsable. No decide los fines ni los medios, sino que actúa siguiendo instrucciones documentadas del responsable.
Ejemplos:
-
Una empresa de hosting que almacena la base de datos de clientes.
-
Un proveedor de servicios de email marketing contratado por una tienda online.
Obligaciones principales del encargado
-
Tratar los datos solo según las instrucciones del responsable.
-
No subcontratar sin autorización previa.
-
Adoptar medidas de seguridad técnicas y organizativas.
-
Ayudar al responsable a cumplir con sus obligaciones (auditorías, gestión de brechas de seguridad, atención a derechos de los usuarios).
Diferencias clave entre responsable y encargado
| Aspecto | Responsable del tratamiento | Encargado del tratamiento |
|---|---|---|
| Decisión sobre fines y medios | Sí | No |
| Relación con el interesado | Directa | Indirecta |
| Ejemplo típico | Empresa que vende un servicio | Proveedor tecnológico |
| Responsabilidad legal | Principal | Subsidiaria, salvo incumplimiento |
Importancia del contrato entre responsable y encargado
El artículo 28 del RGPD exige que la relación entre responsable y encargado esté regulada mediante un contrato o acuerdo que detalle:
-
Objeto y duración del tratamiento.
-
Tipo de datos personales y categorías de interesados.
-
Obligaciones y derechos del responsable.
-
Medidas de seguridad a implementar.
Este contrato es fundamental para delimitar responsabilidades y demostrar el cumplimiento ante la AEPD.
Conclusión
Diferenciar correctamente entre responsable y encargado del tratamiento no es un mero formalismo, sino un aspecto esencial del cumplimiento del RGPD. Una gestión adecuada reduce riesgos legales y protege los derechos de los usuarios.
Si necesitas apoyo para definir los roles en tu empresa y elaborar los contratos adecuados, en Dapro Cumplimiento Normativo podemos ayudarte a cumplir con la normativa y evitar sanciones.
