¿Quién es este actor?

El art. 4(9) del RGPD define al destinatario como “una persona física o jurídica, una autoridad pública, una agencia u otro organismo, al que se revelan los datos personales, ya sea un tercero o no. “. Sin embargo, las autoridades públicas que reciben datos personales a través de consultas de acuerdo con la legislación de la Unión o de los Estados miembros están explícitamente excluidas de esta definición y no deben considerarse como terceros (Art. 4(9)(2) RGPD.

Cualquier otra persona se considera destinataria al recibir datos personales. Por lo tanto, un encargado del tratamiento o un tercero, ambos tratados como actores principales en este documento, se consideran receptores si un responsable del tratamiento les transfiere datos personales. ^[1]

¿Cuáles son sus tareas?

El destinatario no tiene parte activa, ya que se define únicamente por el acceso a los datos. Si una entidad recibe datos personales y los trata, se convierte naturalmente en responsable del tratamiento. Esto demuestra que el tipo y las funciones de los actores cambian con el acceso y el tratamiento de los datos personales.

¿Cuáles son sus derechos y responsabilidades?

No se conceden derechos especiales a los destinatarios. Cuando los datos personales se comunican a un destinatario, el responsable del tratamiento tiene que informar a los interesados sobre el destinatario. En caso de rectificación o supresión, el destinatario de los datos tiene que ser informado de dichos cambios^[2]. No obstante, si los destinatarios son ellos mismos responsables o encargados del tratamiento, podrían estar cubiertos por las disposiciones del RGPD como responsables o encargados del tratamiento, en función del ámbito de aplicación territorial del Reglamento.

Ejemplo:

Un particular utiliza un servicio de pedido y entrega de comida en línea, la empresa C, para pedir una comida. Sin embargo, la empresa C, que ofrece la interfaz web, no es el restaurante que produce la comida, sino que actúa a petición del particular enviando el pedido a un restaurante y entregando la comida él mismo. La empresa C distribuye ahora los datos personales del individuo, el nombre y la dirección, a un restaurante R. Tanto C como R se consideran responsables del tratamiento de los datos personales que llevan a cabo para ofrecer sus respectivos servicios. Como C distribuye los datos personales, la información del pedido y la dirección, al restaurante R, R se considera el destinatario de los datos. En este caso, no existe una relación controlador-transformador.^[3]

 

1. Consulte este ejemplo en https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202007_controllerprocessor_en.pdf p.29. ↑
2. Art. 19 RGPD Obligación de notificación sobre la rectificación o supresión de datos personales o la limitación del tratamiento ↑
3. Ejemplo similar al de la página 29 del Comité Europeo de Protección de Datos (CEPD), Guidelines 07/2020 on the concepts of controller and processor in the GDPR, 2020. Disponible en: https://edpb.europa.eu/sites/default/files/consultation/edpb_guidelines_202007_controllerprocessor_en.pdf (Último acceso: 05.10.2021) ↑