El modo en que las organizaciones utilizan y almacenan los datos personales ha sido objeto de escrutinio durante muchos años, y la presión para gestionarlos de forma responsable no hará sino aumentar a medida que más consumidores tomen conciencia de lo valiosos que son sus datos.
En esta necesidad de responsabilidad es donde entran en juego los responsables y los encargados del tratamiento de datos.
Siga leyendo para conocer las diferencias entre un controlador de datos y un procesador de datos.
¿Qué es un responsable del tratamiento?
Según el Reglamento General de Protección de Datos (rgpd), los responsables del tratamiento son responsables de los datos personales recogidos por una empresa u organización. Un responsable del tratamiento es una persona -o entidad- que toma decisiones de alto nivel sobre los datos.
El responsable del tratamiento define y decide lo que hace el encargado del tratamiento si ambos son personas u organizaciones distintas.
Cómo saber si es usted responsable del tratamiento de datos
En algunas circunstancias, puede resultar difícil saber si usted es responsable o encargado del tratamiento de datos.
Por ejemplo, si una aplicación procesa datos de pago a través de Stripe o Apple Pay y almacena los datos de la tarjeta en el dispositivo del usuario, ¿es esta aplicación móvil el responsable o el encargado del tratamiento?
La Autoridad de Protección de Datos del Reino Unido recomienda que las organizaciones tengan en cuenta la siguiente lista de comprobación para decidir si son responsables del tratamiento de datos:
☐ Decidimos recoger o tratar los datos personales.
☐ Decidimos cuál va a ser la finalidad o el resultado del tratamiento.
☐ Decidimos qué datos personales deben recopilarse.
☐ Decidimos sobre qué individuos recopilar datos personales.
☐ Obtenemos una ganancia comercial u otro beneficio del tratamiento, salvo cualquier pago por servicios de otro responsable del tratamiento.
☐ Estamos tratando los datos personales como resultado de un contrato entre nosotros y el interesado.
☐ Los interesados son nuestros empleados.
☐ Tomamos decisiones sobre las personas afectadas como parte o resultado del tratamiento.
☐ Ejercemos un juicio profesional en el tratamiento de los datos personales.
☐ Tenemos una relación directa con los interesados.
☐ Tenemos total autonomía en cuanto al tratamiento de los datos personales.
☐ Hemos designado a los encargados del tratamiento para que traten los datos personales en nuestro nombre."
Cuantas más casillas marque, más probabilidades tendrá de ser responsable del tratamiento de datos.
Responsabilidades del responsable del tratamiento
Dado que los responsables del tratamiento gozan de un control tan elevado sobre la recogida, el uso y el tratamiento de los datos personales, son los máximos responsables del cumplimiento de los diversos requisitos impuestos por la rgpd.
Por ejemplo, los responsables del tratamiento de datos deben cumplir los siguientes requisitos rgpd :
- Deben identificar y documentar una base jurídica con arreglo al artículo 6 de la rgpd para justificar que recogen y tratan legalmente datos personales.
- Deben garantizar que los datos personales están protegidos por medidas de seguridad adecuadas, como el cifrado y los controles de acceso.
- Deben cumplir los principios fundamentales de rgpd, como la responsabilidad, la equidad y la transparencia.
Si un responsable del tratamiento de datos no cumple los requisitos de rgpd , puede enfrentarse a dos riesgos:
Riesgo nº 1: Los reguladores pueden emprender acciones legales e imponer multas por incumplimiento.
Por ejemplo, Whatsapp es un controlador de datos porque recopila números de teléfono para sus propios fines y decide los medios de tratamiento. En Irlanda se enfrentó a una multa de 225 millones de euros enrgpd porque su política de privacidad no cumplía los requisitos de transparencia.
Riesgo nº 2: Los interesados pueden emprender acciones legales y pedir daños y perjuicios
Cuando un responsable del tratamiento trata los datos personales de una persona de forma no conforme, los particulares también pueden demandar a los responsables del tratamiento por daños y perjuicios.
Ejemplos de responsable del tratamiento
Un responsable del tratamiento de datos puede ser un particular, una entidad, una organización benéfica o un organismo público. A veces también asume el papel de encargado del tratamiento.
Por ejemplo, cuando una empresa utiliza Google Workspace para la comunicación y la colaboración internas, esa empresa será el responsable del tratamiento de los datos, y Google será el encargado del tratamiento.
¿Qué es un procesador de datos?
En rgpd se dice que un encargado del tratamiento es una persona u organización que procesa datos de acuerdo con la licitación de un responsable del tratamiento.
En las operaciones cotidianas de una organización, el responsable del tratamiento de datos establece las normas, y el encargado del tratamiento las cumple.
Responsabilidades de un procesador de datos
El artículo 4 de rgpd establece lo siguiente:
"Encargado del tratamiento": persona física o jurídica, autoridad pública, agencia u otro organismo que trate datos personales por cuenta del responsable del tratamiento".
Un procesador de datos recopila, almacena o elimina los datos personales entrantes de acuerdo con las directrices establecidas por un controlador de datos, que, a su vez, debe seguir las directrices de rgpd .
El encargado del tratamiento diseña, crea y aplica soluciones tecnológicas para la captura de datos personales y medidas de seguridad para salvaguardar estos datos. Además, el encargado del tratamiento se encarga de almacenar los datos personales y transferirlos a otras organizaciones según defina el responsable del tratamiento.
Dado que los procesadores de datos no controlan los fines y los medios del tratamiento, sus responsabilidades en virtud de rgpd son limitadas. Sin embargo, algunas de las obligaciones de rgpd siguen siendo aplicables a los procesadores de datos:
- Los procesadores deben cumplir los requisitos de seguridad establecidos en el artículo 32 rgpd.
- Los encargados del tratamiento deben suscribir un acuerdo de tratamiento de datos si utilizan sus propios subencargados para prestar sus servicios. Además, estos acuerdos de subencargado del tratamiento deben reflejar las obligaciones impuestas al encargado principal.
- Los encargados del tratamiento de datos pueden tener que mantener registros de las actividades de tratamiento en virtud del artículo 35 rgpd.
- Los encargados del tratamiento de datos tienen determinadas obligaciones en virtud del artículo 46 rgpd relativo a las transferencias internacionales de datos.
Al igual que los responsables del tratamiento, los encargados del tratamiento también pueden enfrentarse a acciones reglamentarias por incumplimiento de la rgpd. Además, los interesados también pueden interponer demandas contra los encargados del tratamiento.
Ejemplos de procesador de datos
Al igual que los responsables del tratamiento, los encargados del tratamiento pueden ser personas físicas o jurídicas.
Imagine que su empresa celebra una gran fiesta e invita a todos sus clientes. La empresa encarga las invitaciones a una imprenta externa. La imprenta recibe una lista con los nombres y direcciones de los clientes.
En esta situación, rgpd consideraría a la imprenta un encargado del tratamiento porque utiliza datos personales siguiendo instrucciones del responsable del tratamiento.
Controlador de datos frente a procesador: Diferencias y similitudes
Los responsables del tratamiento y los encargados del tratamiento se enfrentan a diario al mismo terreno: los datos personales. Sin embargo, sus funciones son muy diferentes, así como sus responsabilidades. En lo que respecta a los datos, la rgpd ve a los responsables del tratamiento más como los generales, mientras que los encargados del tratamiento son los soldados de infantería.
| Controladores de datos | Procesadores de datos |
| Define cómo se procesan los datos: siempre pensando en lo que hacen los procesadores de datos. | Trata los datos de acuerdo con las directrices del responsable del tratamiento |
Toma decisiones clave sobre los datos:
|
Sigue las normas sobre datos establecidas por el responsable del tratamiento |
¿Puede una persona ser a la vez responsable del tratamiento y encargado del tratamiento?
Existen solapamientos entre lo que hacen los responsables del tratamiento y los encargados del tratamiento. La principal diferencia entre ambas funciones es jerárquica. En cualquier organización, el día a día de ambos cargos estaría profundamente entrelazado.
La dirección rgpd permite la doble función de particulares, empresas y otras organizaciones. Por ejemplo, en algunos casos, usted podría actuar como responsable del tratamiento de datos para una organización y ser el encargado del tratamiento de datos para otra.
Incluso si un proveedor externo u otra organización desempeña siempre u ocasionalmente esta doble función, es crucial comprender en qué se diferencian las posiciones de encargado del tratamiento y de responsable del tratamiento y por qué.
¿Qué leyes las exigen?
rgpd es actualmente una de las leyes de privacidad de datos más estrictas del mundo, y afecta a las organizaciones que manejan datos de particulares en la UE. Como tal, es crucial seguir de cerca las funciones y responsabilidades descritas en el artículo 4 de la rgpd.
Además, asegúrese de cumplir otras leyes de privacidad pertinentes, como la CCPA (California), la PIPL (China) y la LGPD (Brasil), que pueden tener sus propias definiciones y requisitos específicos. Si su organización maneja datos de alguna manera, debe investigar qué dictan las leyes locales, nacionales e internacionales.
Aunque no está al mismo nivel que la rgpd, la Ley de la Comisión Federal de Comercio encarga a la FTC de EE.UU. hacer cumplir las normas sobre privacidad de datos, incluidas las situaciones en las que una organización incumple sus propias políticas de privacidad de datos publicadas.
Además, la Ley de Protección de la Privacidad Infantil en Internet (COPPA) prohíbe la recogida de datos de niños menores de 13 años.
Los responsables del tratamiento y la ley
Como su nombre indica, los responsables del tratamiento de datos son los máximos responsables según la rgpd , ya que son los encargados últimos de los datos personales de una organización.
Las multas por incumplimiento de la rgpd se fijan caso por caso, pero pueden llegar a ser bastante elevadas. Las sanciones máximas se calculan como una parte de la facturación global anual de la organización incumplidora. La multa puede alcanzar hasta el 4% del volumen de negocios o 20 millones de euros, la cantidad que sea mayor.
Para infracciones más leves, las multas pueden oscilar entre el 2% de la facturación global y 10 millones de euros, la cantidad más alta.
Como responsable del tratamiento de datos, debe seleccionar siempre un encargado del tratamiento que cumpla la normativa rgpd. Al final, la culpa será de su organización.
Además, debe tener un acuerdo que dicte qué ocurrirá con los datos personales si se rescinde un contrato entre un responsable y un encargado del tratamiento.
Los procesadores de datos y la ley
Los procesadores de datos pueden tener menos control sobre las decisiones relativas a los datos personales. Aun así, un procesador de datos que no se mantenga centrado en la rgpd no será de utilidad para muchas organizaciones. Esto se debe a que la rgpd faculta a los tribunales para imponer multas a los encargados del tratamiento de datos, no sólo a los responsables del tratamiento.
Aunque un encargado del tratamiento debe recopilar, almacenar y eliminar datos personales en nombre de un responsable del tratamiento, también debe esforzarse por mantener un registro de actividades preciso. No solo lo exigen las normas de rgpd , sino que también es probable que sea la mejor práctica de su responsable del tratamiento.
Si los tribunales de la UE investigan una infracción u otro caso de incumplimiento de la rgpd, el encargado del tratamiento será objeto de investigación, al igual que el responsable del tratamiento.
Comprender las funciones de los responsables y encargados del tratamiento de datos es vital para garantizar una gestión adecuada de los datos personales y evitar posibles problemas legales. Tanto si eres responsable del tratamiento de datos como si lo eres del procesamiento, cumplir las leyes de privacidad de datos, como la rgpd y otras, es crucial para proteger tu organización y generar confianza entre tus usuarios.
Más sobre el autor
Escrito por Ali Talip Pınarbaşı, CIPP/E, & LLM
Ali es un abogado especializado en derecho de la privacidad de datos con sede en Londres y con un máster en derecho de la privacidad de la UE en el King's College de Londres. Cuenta con seis años de experiencia asesorando a empresas sobre cómo cumplir las leyes de protección de datos. Más sobre el autor
