El nuevo RGPD obliga a todas las personas, empresas y organismos que traten con datos de carácter personal, a cumplir con una serie de requisitos y a aplicar determinadas medidas de seguridad en función del tipo de datos que posean.
En este sentido, hay que tener en cuenta dos figuras importantes en el proceso de adaptación al RGPD; el responsable de tratamiento y el encargado del tratamiento.
El encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que presta un servicio al responsable que conlleva el tratamiento de datos personales por cuenta de éste.
El responsable del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.
Una entidad es responsable del tratamiento cuando controla y se responsabiliza de los datos que posee.
¿Cuáles son las obligaciones del Responsable del tratamiento de datos?
El Responsable del tratamiento de datos es, el principal responsable de garantizar el cumplimiento del RGPD en cuanto a la recopilación, gestión, acceso y revocación de los datos personales.
En primer lugar, debe obtener el consentimiento explícito de los individuos a tratar sus datos personales. Así como conservar los documentos que acrediten este consentimiento. Sin embrgo, no siempre es necesario el consentimiento, a veces se tratan datos en base a una obligación legal, un interés legítimo, etc.
Del mismo modo, debe garantizar que cursará la solicitud si un individuo revoca el consentimiento al acceso de sus datos personales.
El responsable tendrá también que comunicar todas las violaciones del acceso a los datos personales, en un plazo no superior a 72 horas.
Asimismo, los responsables deberán exigir a los encargados con los que trabajen el cumplimiento del RGPD y la obtención de los certificados necesarios que así lo acrediten. Se espera que el responsable trabaje solo con aquellos encargados que tengan las medidas técnicas y organizativas apropiadas para cumplir con las pautas del RGPD.
¿Cuáles son las obligaciones del Encargado del tratamiento de datos?
El Encargado del Tratamiento de Datos debe garantizar que no utilizará los datos personales para un fin distinto al descrito por el responsable. Ante una petición del responsable, el encargado tendrá que proceder a la devolución o eliminación de estos datos personales de acuerdo con los procesos de destrucción de documentos que establece el RGPD.
Si se produce una violación del acceso a los datos personales, el encargado deberá comunicarlo al responsable de manera inmediata.
¿Cómo se establece la relación entre el responsable y el encargado de Tratamiento?
La regulación de la relación entre el responsable y el encargado del tratamiento debe establecerse a través de un contrato o de un acto jurídico unilateral del responsable del tratamiento y debe constar por escrito, inclusive en formato electrónico. En él debe constar lo siguiente:
- Las instrucciones del responsable del tratamiento
- El deber de confidencialidad
- Las medidas de seguridad
- El régimen de la subcontratación
- Los derechos de los interesados
- La colaboración en el cumplimiento de las obligaciones del responsable
- El destino de los datos al finalizar la prestación
- La colaboración con el responsable para demostrar el cumplimiento
Para que el encargado del tratamiento pueda acceder a los datos no es necesario el consentimiento de los afectados, es decir, de las personas cuyos datos se tratan siempre que exista el contrato de encargo mencionado.
Una vez que el encargado haya cumplido el objetivo del contrato, tendrá que devolver los datos al responsable o proceder a su destrucción de acuerdo con lo establecido en el RGPD.
