Frédéric Tronnier (GUF)
Esta sección pretende explicar los principales actores, es decir, los papeles que se pueden asignar a las personas, organizaciones u otras entidades en el RGPD. El art. 4(7-10) definen varios de estos actores, mientras que otros se definen más adelante en el RGPD[1]. Aquí se definirán estos actores para aclarar las diferentes tareas, derechos y responsabilidades que posee cada uno de ellos. Para trabajar con datos personales y cumplir con el RGPD es necesario entender el papel que se asume cuando se trabaja con datos personales. En la tabla 1 se hace un breve resumen de los principales actores. En el cuerpo principal de este documento se ofrecen ejemplos prácticos para ilustrar la interacción entre las diferentes categorías de actores.
- Para obtener información más detallada sobre los principales actores: controlador, procesador y controladores conjuntos, nos remitimos a las directrices del SEPD sobre estos actores. Directrices del SEPD sobre los conceptos de responsable del tratamiento, encargado del tratamiento y corresponsables del tratamiento en virtud del Reglamento (UE) 2018/1725. Disponible en: https://edps.europa.eu/sites/edp/files/publication/19-11-07_edps_guidelines_on_controller_processor_and_jc_reg_2018_1725_en.pdf (Última visita: 03.12.2020)
Y Directrices 07/2020 sobre los conceptos de controlador y procesador en el RGPD. Disponible en: https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202007_controllerprocessor_en.pdf (Última visita: 03.12.2020) ↑
Actor | Datos del sujeto | Controlador | Procesador | Controladores conjuntos | Destinatario | Terceras partes | Responsable de la protección de datos | Autoridad supervisora |
RGPD | Art.4(1) | Art.4(7) | Art.4(8) | Artículo 26 | Art.4(9) | Art.4(10) | Artículo 37 | Artículo 51 |
Breve descripción | Una persona física que puede ser identificada directa o indirectamente a través de datos personales. | Cualquier entidad que determine los fines y los medios del tratamiento de los datos personales. | Se encarga del tratamiento de los datos personales por cuenta del responsable del tratamiento. No determina los fines de este tratamiento. | Dos o más responsables del tratamiento que determinan conjuntamente los fines y los medios del tratamiento de los datos personales. | Cualquier entidad a la que se le comuniquen datos personales, a excepción de las autoridades públicas que reciban datos personales de acuerdo con la ley. | Cualquier otra entidad que no sea el responsable del tratamiento, el encargado del tratamiento, el interesado o las personas autorizadas a tratar los datos personales. | Persona física que actúa de forma independiente dentro de una organización para garantizar la correcta aplicación del RGPD | Autoridad pública independiente creada por los Estados miembros de la UE. También se denominan Autoridades de Protección de Datos (APD). |
Tareas | No hay tareas especificadas en el RGPD. Los interesados pueden hacer valer sus derechos establecidos en el artículo 12-23 del RGPD. | Tiene el control de los datos y decide lo que se hace con ellos. Suele querer alcanzar un objetivo con los datos. | Trata los datos bajo las instrucciones del responsable del tratamiento. | Las tareas son las mismas que las de un controlador (único), pero las realizan todos los controladores conjuntos. | No tiene parte activa. Un destinatario se define únicamente por su acceso a los datos personales. | No tiene parte activa. | Garantiza la protección de los derechos de los interesados Gestiona y atiende las reclamaciones. | Responsable de supervisar y hacer cumplir la correcta aplicación del RGPD. Promueve la concienciación sobre cuestiones de tratamiento de datos. Gestiona las reclamaciones de los interesados. |
Derechos / Responsabilidades | Equipado con muchos derechos, como el derecho a la rectificación, la supresión, la limitación del tratamiento, el derecho de oposición y el derecho de acceso. | Debe garantizar el cumplimiento del RGPD en el tratamiento de los datos y ser capaz de demostrar que el tratamiento de los datos personales se realiza de acuerdo con el RGPD. Debe aplicar las medidas técnicas y organizativas adecuadas para ello. | Actúa bajo las instrucciones del controlador con un cierto grado de libertad para elegir los métodos más adecuados para el tratamiento. Garantiza que el tratamiento cumple los requisitos del RGPD. | Los corresponsables deben determinar sus respectivas responsabilidades en el cumplimiento del tratamiento de datos Necesidad de proporcionar un punto de contacto para los interesados. | No hay derechos ni responsabilidades. Se convertirá en controlador para cualquier tratamiento que se lleve a cabo para sus propios fines. | Recibe datos personales. Se convertirá en controlador para cualquier tratamiento que se lleve a cabo para sus propios fines. | Actúa de forma independiente con un presupuesto y recursos propios No debe estar en conflicto de intereses, por lo tanto no es un procesador o controlador. | Hacer cumplir la aplicación del RGPD. Puede emitir advertencias y amonestaciones, o prohibir o limitar el tratamiento de datos personales por parte de otras entidades. |
Cuadro 1. Breve resumen de los principales actores en el contexto de protección de datos