Operaciones de tratamiento en el RGPD
Home » RGPD » Conceptos principales » Protección de datos por diseño y por defecto » Análisis del artículo 25. Protección de datos desde el punto de vista del diseño » Operaciones de tratamiento en el RGPD

A continuación, se analiza qué concepción tiene el RGPD de una operación de tratamiento.

El art. 5(1)(f) del RGPD establece la necesidad de “protección contra el tratamiento no autorizado”… Esto implica que el tratamiento ordinario debe ser autorizado. Del contexto también se desprende que dicha autorización debe proceder del responsable del tratamiento, que es quien tiene la plena responsabilidad del mismo. Pero, ¿cómo puede un responsable del tratamiento limitar el tratamiento a lo que está autorizado?

Una respuesta parcial a esta pregunta puede encontrarse en el art. 29 del RGPD: “El encargado del tratamiento y cualquier persona que actúe bajo la autoridad del responsable del tratamiento o del encargado del mismo, que tenga acceso a los datos personales, no tratará dichos datos salvo siguiendo instrucciones del responsable del tratamiento, [..]”. También el art. 32(4) del RGPD utiliza una redacción muy similar. El art. 29 del RGPD implica la siguiente concepción:

  • La operación de tratamiento es ejecutada por “una persona física que actúa bajo la autoridad del responsable o del encargado del tratamiento“. Estas personas suelen ser empleados del responsable del tratamiento, pero también pueden trabajar para un encargado del tratamiento o trabajar sin estar realmente empleados[1]. En lo sucesivo se denominan recursos humanos. Tenga en cuenta que estas personas controlan a su vez los medios técnicos que apoyan o automatizan parcialmente el tratamiento[2].
  • El medio con el que un responsable del tratamiento se asegura de que sólo tiene lugar el tratamiento autorizado es la emisión de instrucciones.

Para garantizar que sólo se realice el tratamiento autorizado, las instrucciones deben especificar todos los aspectos relevantes de la actividad de tratamiento: quién, cuándo, qué y cómo. En otras palabras, los recursos humanos tienen que actuar sólo por instrucción (quién, cuándo) y según las instrucciones (qué, cómo).

Aunque con menos claridad, el RGPD también establece que los recursos técnicos son necesarios. Esto queda muy claro en el considerando 39 (frase 12) que habla del “equipo utilizado para el tratamiento“. Otros términos relacionados con los recursos técnicos que se utilizan en el RGPD son “equipo de tratamiento de datos” en el art. 58(1)(f) y “sistemas de tratamiento” en el Art. 32(1)(b).

Aunque el RGPD utiliza el término instrucción sólo en el contexto de los recursos humanos, está claro que también los recursos técnicos requieren instrucciones para ejecutar únicamente el tratamiento autorizado. En el ámbito técnico, se utiliza aquí el término instrucciones de máquina. Un tipo importante de tales instrucciones es el software.

En resumen, al considerar un recurso individual (humano o técnico), el RGPD tiene la siguiente concepción de una operación de tratamiento:

operación de procesamiento individual
=
ejecución de las instrucciones del controlador por un solo recurso

En la mayoría de los casos, el conjunto de las operaciones de tratamiento implica un sistema de multitud de recursos humanos y técnicos que interactúan. Esto se expresa de la siguiente manera:

operaciones globales de procesamiento

multitud de operaciones individuales de procesamiento
 ejecutadas por recursos humanos y técnicos individuales

Figura 1: La concepción del RGPD de una operación de tratamiento.

Figura 1 ilustra el concepto de operaciones de tratamiento del RGPD en un contexto más amplio. Ilustra el ámbito de responsabilidad del responsable del tratamiento mediante un recuadro punteado. El responsable del tratamiento determina las operaciones de tratamiento autorizadas emitiendo o seleccionando/aprobando[3] instrucciones tanto a los recursos humanos (RH) que actúan bajo su autoridad (véase el artículo 29 del RGPD) como a los recursos técnicos (RT) bajo su control. Todos los recursos interactúan para formar el sistema global de tratamiento. El contexto de este sistema de tratamiento está definido por los interesados que interactúan con los recursos humanos y/o técnicos, y opcionalmente con terceros destinatarios (véase el art. 4(9) y (10) del RGPD) a los que los recursos revelan datos personales.

Este modelo de operaciones de tratamiento representa el tratamiento autorizado por el controlador. Se utiliza en la siguiente sección para comprender mejor lo que implica realmente la determinación de los medios.

 

 

  1. Véanse también las directrices del Comité Europeo de Protección de Datos (CEPD) sobre los conceptos de responsable y encargado del tratamiento en el RGPD, apartado 88, para analizar el significado de “personas que, bajo la autoridad directa del responsable o del encargado del tratamiento, están autorizadas a tratar datos personales”.
  2. Hay que tener en cuenta que, incluso en el caso del “procesamiento totalmente automático”, siempre es una persona la que controla dicho procesamiento iniciándolo y deteniéndolo. El control por parte de una persona es aún más evidente cuando se trata de “herramientas” informatizadas que son utilizadas por humanos a través de una interfaz hombre-máquina.
  3. La selección y aprobación de las instrucciones por parte de un controlador se realiza, por ejemplo, cuando se adquiere un software estándar o cuando un controlador elige el servicio de un determinado procesador.

 

Ir al contenido