Responsabilidad en los datos, seguridad, delegado de protección de datos y códigos de conducta

• Author: Lucrecio Rebollo
• Pages: 131-151

Contenidos

• Responsable y encargado de tratamiento.
• Evaluación de impacto y consulta previa.
• Seguridad de los datos.
• El delegado de protección de datos.
• Códigos de conducta y certificaciones.

Page 131

Responsable y encargado de tratamiento

El art. 4 del RGPD dedica el apartado 7 y 8 a la delimitación del los conceptos de responsable y encargado del tratamiento. Se entiende por responsable del tratamiento o de forma genérica por responsable a la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento, si bien deja abierta la puerta a una mayor concreción del concepto por parte del derecho de cada uno de los Estados miembros, así como los fines y medios del tratamiento. Por encargado del tratamiento, o encargado, se entiende la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento. Tanto en una como en otra figura, es indiferente que sea autoridad pública, persona física o jurídica, así como su situación jurídica, lo relevante para el sometimiento al Reglamento es la actividad que se realiza, el tratamiento.

Page 132

La primera exigencia al responsable del tratamiento es la de aplicar medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario. De forma genérica el Reglamento entiende que son adecuadas estas medidas, y que por lo tanto demuestra el cumplimiento de sus obligaciones, si el responsable se adhiere a códigos de conducta aprobados a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42.

El responsable del tratamiento está obligado a aplicar las medidas oportunas, necesarias y eficaces, y ha de poder demostrar la conformidad de las actividades de tratamiento con el presente Reglamento. Dichas medidas deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas físicas. De forma concreta el Reglamento refiere como novedad la determinación del daño de forma muy extensa y concreta. Así, el Considerando 75 relaciona los siguientes: “perjuicios físicos, materiales o inmateriales, en particular en los casos en los que el tratamiento pueda dar lugar a problemas de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo; en los casos en los que se prive a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales; en los casos en los que los datos personales tratados revelen el origen étnico o racial, las opiniones políticas, la religión o creencias filosóficas, la militancia en sindicatos y el tratamiento de datos genéticos, datos relativos a la salud o datos sobre la vida sexual, o las condenas e infracciones penales o medidas de seguridad conexas; en los casos en los que se evalúen aspectos personales, en particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo,

Page 133

situación económica, salud, preferencias o intereses personales, fiabilidad o comportamiento, situación o movimientos, con el fin de crear o utilizar perfiles personales; en los casos en los que se traten datos personales de personas vulnerables, en particular niños; o en los casos en los que el tratamiento implique una gran cantidad de datos personales y afecte a un gran número de interesados”.

Como pautas genéricas para realizar un tratamiento adecuado, y singularmente para la protección de los derechos y libertades de las personas físicas con respecto al tratamiento de datos personales, el Considerando 78 exige la adopción de medidas técnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos del presente Reglamento. A fin de poder demostrar la conformidad con el presente Reglamento, el responsable del tratamiento debe adoptar políticas internas y aplicar medidas que cumplan en particular los principios de protección de datos desde el diseño y por defecto. Dichas medidas podrían consistir, entre otras, en reducir al máximo el tratamiento de datos personales, seudonimizar lo antes posible los datos personales, dar transparencia a las funciones y el tratamiento de datos personales, permitiendo a los interesados supervisar el tratamiento de datos y al responsable del tratamiento crear y mejorar elementos de seguridad. Al desarrollar, diseñar, seleccionar y usar aplicaciones, servicios y productos que están basados en el tratamiento de datos personales o que tratan datos personales para cumplir su función, ha de alentarse a los productores de los productos, servicios y aplicaciones a que tengan en cuenta el derecho a la protección de datos cuando desarrollan y diseñen estos productos, servicios y aplicaciones, y que se aseguren, con la debida atención al estado de la técnica, de que los responsables y los encargados del tratamiento están en condiciones de cumplir sus obligaciones en materia de protección de datos. Los principios de la protección de datos desde el diseño y por defecto también deben tenerse en cuenta en el contexto de los contratos públicos. Como

Page 134

manifiesta Troncoso, “La protección de datos personales debe ser tenida en cuenta en el diseño del sistema de información -la llamada privacidad en el diseño, privacy by design-, fijando para ello obligaciones para el responsable, tanto en el momento de la determinación de los medios de tratamiento como en el del tratamiento propiamente dicho, de implementar medidas y procedimientos técnicos y organizativos apropiados que garanticen la protección de los datos personales -art. 23-. Además señala que la protección de datos debe ser una opción por defecto -la llamada privacidad por defecto-, que se mate-rializa en la obligación del responsable del tratamiento de establecer mecanismos que permitan que, por configuración inicial, sólo sean objeto de tratamiento los datos necesarios para cada fin específico, de manera que no se recojan ni se conserven datos más allá del mínimo necesario para los fines, tanto en lo que respecta a la cantidad de los datos como a la duración de su conservación, estableciéndose, así mismo, mecanismos que garanticen que, por defecto, los datos personales no sean accesibles a un número indeterminado de personas”¹⁰⁸.

Estos contenidos se clarifican en el art. 25.1, al obligar al responsable del tratamiento a aplicar, “tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados. El apartado segundo del artículo que venimos citando añade que “El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales

Page 135

recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas”.

Se introduce también como novedad normativa la corresponsabilidad en el tratamiento, de esta forma el art. 26 establece que “Cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento serán considerados corresponsables del tratamiento. Los correspon-sables determinarán de modo transparente y de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por el presente Reglamento, en particular en cuanto al ejercicio de los derechos del interesado y a sus respectivas obligaciones de suministro de información a que se refieren los artículos 13 y 14 …”. Con objeto de clarificar esta actividad conjunta de cara al interesado, debe constar de forma clara las funciones y relaciones respectivas de los corresponsables, y es obligatorio poner a disposición de aquél, los aspectos esenciales del acuerdo, y en todo caso el interesado podrá ejercer sus derechos o acciones frente a cualquiera de ellos.

El art. 30 obliga al responsable y, en su caso, su representante, a que lleven un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener toda la información indicada a continuación:

1. el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;

2. los fines del tratamiento;

3. una descripción de las categorías de interesados y de las categorías de datos personales;

4. las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;

   Page 136

5. en su...