Responsable o encargado del tratamiento de datos

Cuando hay dos o más responsables del tratamiento que determinan conjuntamente la finalidad y los medios de tratamiento, se consideran corresponsables del tratamiento. Deciden conjuntamente tratar datos personales para un fin conjunto. La corresponsabilidad puede adoptar muchas formas y la participación de los diferentes responsables puede ser desigual. Por lo tanto, los corresponsables del tratamiento deben determinar sus respectivas responsabilidades para el cumplimiento del RGPD.

Al decidir los fines y medios del tratamiento de datos personales, el responsable del tratamiento, o los corresponsables del tratamiento, deben garantizar la protección de los datos personales de las personas físicas. 

Para lograrlo, el responsable del tratamiento, o los corresponsables del tratamiento, deben adoptar medidas para proteger los datos personales y permitir a las personas ejercer sus derechos.

Para obtener más información, consulte la «Lista de verificación de responsabilidades del controlador/controlador conjunto»

Un subencargado actúa bajo las instrucciones del encargado del tratamiento, lo que significa que puede tratar los datos personales en nombre del encargado. Un subencargado puede ser una persona jurídica, por ejemplo una empresa, una pyme, una autoridad pública, una agencia u otro organismo.

A tener en cuenta, un subencargado solo puede ser nombrado si el responsable del tratamiento, o el corresponsable del tratamiento, lo autoriza por escrito. En tal caso, el encargado deberá establecer un contrato vinculante con el subencargado en el que se detallen las responsabilidades del subencargado. Este contrato encargado del tratamiento-subencargado debe prever la misma protección de los datos personales que el contrato responsable-encargado inicial.

Si bien la responsabilidad general recae generalmente en el responsable del tratamiento de datos, los encargados del tratamiento de datos también tienen ciertas responsabilidades bajo el RGPD. Los encargados del tratamiento deben llevar a cabo las operaciones de tratamiento con las medidas técnicas y organizativas adecuadas establecidas por el responsable del tratamiento o el corresponsable del tratamiento. De este modo, el encargado del tratamiento ayuda al responsable del tratamiento a cumplir con el Reglamento General de Protección de Datos.

La relación responsable-encargado del tratamiento, incluidas las responsabilidades del encargado, debe regirse por un contrato en el que se documenten las operaciones de tratamiento y los medios para tratar los datos personales.

Para obtener más información, consulte la «Lista de verificación de responsabilidades del procesador».

¿Qué incluir en un contrato de responsable-encargado?

El contrato entre el responsable del tratamiento o el corresponsable del tratamiento y el encargado del tratamiento debe estipular que el encargado del tratamiento de datos:

¿Qué incluir en un contrato de encargado — subencargado?

El contrato entre el encargado y el subencargado debe incluir cláusulas específicas que garanticen que los datos personales que se van a tratar estarán protegidos de la misma manera que lo dispuesto en el contrato responsable-encargado del tratamiento.

¿Quién es responsable ante quién?

Un responsable del tratamiento, o corresponsable del tratamiento, es responsable tanto de su propio cumplimiento con el RGPD como del cumplimiento del encargado elegido. En términos concretos, si el encargado del tratamiento incumple sus obligaciones en virtud del RGPD, el responsable del tratamiento, o el corresponsable, podría ser considerado responsable y estar sujeto a multas y otras consecuencias, si procede.

El encargado del tratamiento es responsable de su propio cumplimiento con el RGPD y puede ser responsable ante el responsable del incumplimiento del contrato contratista-encargado del tratamiento. Un encargado del tratamiento también puede ser responsable ante el responsable del tratamiento por las infracciones causadas por el subencargado.