¿Quién es este actor?
El responsable del tratamiento puede ser cualquier “persona física o jurídica, autoridad pública u otro organismo que, solo o conjuntamente con otros, determine los fines y los medios del tratamiento de los datos personales (…)”[1]. De ello se desprende que cualquier entidad que disponga de datos personales por diversos motivos se considera responsable del tratamiento, ya sea, por ejemplo, para realizar una investigación científica basada en datos personales o con fines comerciales o de marketing. El responsable del tratamiento tiene influencia en el tratamiento de los datos personales, mediante la ejecución del tratamiento o la capacidad de decidir sobre el mismo. Para determinar si una entidad es un responsable del tratamiento, pueden plantearse las siguientes preguntas:
- ¿Quién toma las decisiones sobre el tratamiento de datos?
- ¿Quién tiene el poder de detener el procesamiento de datos?
- ¿Por qué se realiza el tratamiento?
- ¿Quién inició el tratamiento?
- ¿Quién se beneficia del tratamiento?[2]
La definición también incluye la posibilidad de que el responsable del tratamiento no actúe solo, sino que haya varios responsables, que controlen conjuntamente el tratamiento de los datos personales. La sección sobre el control conjunto lo explica con más detalle.
¿Cuáles son sus tareas?
El responsable del tratamiento determina los medios y los fines del tratamiento de los datos. Esto significa que el responsable del tratamiento tiene el control del tratamiento de los datos personales y es el actor que realmente decide lo que se hará con los datos personales. Por lo general, el responsable del tratamiento pretende alcanzar una meta, por ejemplo, un proyecto y un objetivo de investigación o un proceso empresarial*, para lo cual es necesario el tratamiento de los datos.
¿Cuáles son sus derechos y responsabilidades?
El responsable del tratamiento debe garantizar el cumplimiento de la normativa de protección de datos, como el RGPD. En otras palabras, el responsable del tratamiento es responsable de lo que ocurre con los datos personales, de cómo se procesan y de si el tratamiento se ajusta o no al RGPD. En la práctica, esto significa que los responsables del tratamiento tienen que introducir medidas y salvaguardias destinadas a respetar la aplicación del RGPD y demostrar dichas políticas. De hecho, el artículo 24 del RGPD define la responsabilidad del responsable del tratamiento de
“aplicar las medidas técnicas y organizativas adecuadas para garantizar y poder demostrar que el tratamiento se realiza de conformidad con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario”.[3]
Estas medidas técnicas y organizativas se explican con más detalle en la sección “Principios (3.1.3) de este documento. El responsable del tratamiento debe poder demostrar que se aplican y garantizan los principios de tratamiento de datos, como la minimización de los datos, la limitación del almacenamiento y la transparencia. Esto se menciona en el artículo 5 (2) del RGPD como la responsabilidad del responsable del tratamiento. Por lo tanto, es esencial que el responsable del tratamiento pueda demostrar y documentar (artículo 30, apartado 2, del RGPD) que se cumplen estos principios. [4][5] Los proyectos de investigación deben llevarse a cabo y aplicarse teniendo en cuenta los principios de privacidad por diseño y privacidad por defecto (artículo 25 del RGPD). La responsabilidad significa no sólo que “… la propuesta de proyecto tiene que satisfacer una determinada lista de condiciones, sino que la propia metodología de investigación tiene que ser conforme a la ética y la legalidad por diseño”[6]. Los ejemplos prácticos incluyen la participación de un equipo interdisciplinario, un experto ético-jurídico designado como DPD, una infraestructura de TI que satisfaga la tríada CIA y el registro y la regulación del flujo de datos dentro y entre el equipo de investigación y otras entidades.[7]
El responsable del tratamiento puede instruir y designar a otras entidades que realicen el tratamiento en su nombre, titulado el procesador. El responsable del tratamiento tiene la obligación de recurrir únicamente a encargados del tratamiento que puedan ofrecer garantías suficientes de que han aplicado medidas técnicas y organizativas adecuadas para el tratamiento de los datos conforme al RGPD. Estas medidas deben adoptarse y demostrarse para garantizar el tratamiento y proteger los derechos de los interesados.[8] Naturalmente, los investigadores que actúan como responsables del tratamiento están obligados, por tanto, a utilizar únicamente procesadores de confianza que puedan demostrar que cumplen el Reglamento.
Si se han infringido los derechos de los interesados, es decir, si los datos personales se han tratado de forma ilícita, con el consiguiente perjuicio material o moral, estos interesados pueden ejercer los derechos que les confiere el artículo 16 a 23 del RGPD (véase la sección sobre los derechos de los interesados). Para ello, el responsable del tratamiento es el “punto de referencia último” al [9]que los interesados pueden dirigirse para ejercer sus derechos. El art. 82(1) del RGPD establece que, en tales circunstancias, los interesados tienen derecho a recibir una indemnización del responsable del tratamiento (o del encargado del tratamiento) por los daños sufridos. Además, los responsables del tratamiento son responsables de los daños si infringen el RGPD (artículo 82, apartado 2). El considerando 146 establece que los interesados deben recibir una indemnización efectiva y completa por los daños y perjuicios sufridos y que “el concepto de daño debe interpretarse ampliamente a la luz de la jurisprudencia del Tribunal de Justicia de manera que refleje plenamente los objetivos del presente Reglamento”.
Lista de comprobación: Es probable que sea un controlador si responde a una de las siguientes afirmaciones con un “sí”
|
- Art. 4(7) RGPD ↑
- Véanse las Directrices del SEPD sobre los conceptos de responsable del tratamiento, encargado del tratamiento y corresponsabilidad en virtud del Reglamento (UE) 2018/1725, p.7 basadas en el asunto C-210/16 Wirtschaftsakademie Schleswig-Holstein ECLI:EU:C:2018:388, párr. 40 y las conclusiones del Abogado General Bot en el asunto C-210/16, Wirtschaftsakademie, párrafos. 64 y 65. ↑
- Véase el artículo 24(1) del RGPD ↑
- SEPD, “Dictamen preliminar sobre la protección de datos y la investigación científica, 6 de enero de 2020, p.17. ↑
- SEPD, “Guidelines 07/2020 on the concepts of controller and processor in the GDPR”, 2 de septiembre de 2020, p. 8. ↑
- D. Amram, “Construyendo el modelo “Accountable Ulysses”. The impact pf GDPR and national implementations, ethics, and health-data research: Comparative remarks”, Computer Law and Security Review, julio de 2020, Vol. 37, p. 2. ↑
- Ibid, p. 6. El autor de este artículo señala otras características que hay que tener en cuenta para lograr un “nivel de cumplimiento aceptable”. ↑
- SEPD, “Guidelines 07/2020 on the concepts of controller and processor in the GDPR”, septiembre de 2020, p.4. ↑
- Véase https://edps.europa.eu/sites/edp/files/publication/19-11-07_edps_guidelines_on_controller_processor_and_jc_reg_2018_1725_en.pdf p.13 ↑