Responsable, corresponsable y encargado

Unos de los conceptos más básicos que hay que tener claros en protección de datos son los de responsable, corresponsable y encargado.

En primer lugar, el responsable del tratamiento será la persona física o jurídica, de naturaleza pública o privada, que determine los fines y medios del tratamiento. Es decir, es la persona que decide qué datos de carácter personal se van a recabar, qué se va a hacer con ellos, cuanto tiempo se van a conservar o si se van a ceder, entre otras cosas.

En contraposición con esta figura se encuentra la del encargado del tratamiento que es la persona física o jurídica, de naturaleza pública o privada, que trata datos personales por cuenta del responsable del tratamiento.

Por tanto, para diferenciar la figura del responsable de la del encargado, bastará con hacerse una pregunta ¿quién decide para qué y cómo se van a tratar los datos recabados?

Será el responsable en todo momento quien influirá sobre los fines y los medios del tratamiento mientras que el encargado simplemente se limitará a seguir las directrices impuestas por aquel.

En otro orden de ideas, existen situaciones en las que el responsable del tratamiento está claramente delimitado pues puede suceder que tenga una competencia jurídica explícita y bien determinada para poder llevar a cabo el tratamiento. Esto sucederá en casos en los que el responsable deba, por ejemplo, tratar los datos de sus empleados de cara a la realización de las nóminas, o bien tratar los datos de sus proveedores en base a su obligación de facturación.

Por otra parte, en la práctica sucede con frecuencia que el responsable contrata una prestación de servicios a un tercero para realizar alguna de las citadas actividades. Por ejemplo, para hacer esas nóminas de las que acabamos de hablar puede que el responsable delegue dicha realización a una gestoría externa. Esta gestoría, por tanto, será encargada del tratamiento con respecto de los datos de los trabajadores, pues no puede tomar sus propias decisiones sobre cómo utilizar dichos datos sino que los términos de utilización de los datos los determina el responsable.

Teniendo esto presente y en relación con esta figura del encargado del tratamiento, el responsable siempre tendrá que buscar que, aquel proveedor que le preste un servicio para el que tenga que acceder a sus datos, ofrezca garantías suficientes en cuanto al cumplimiento de la normativa de protección de datos y se comprometa a actuar con la diligencia debida. Para ello ambas partes deberán firmar un contrato responsable – encargado.

Aun así esto no es suficiente y deberá también el encargado facilitarle al responsable toda la información que éste le solicite en cuanto a la manera en que realiza el tratamiento de los datos y las medidas técnicas y organizativas implementadas dentro de su organización para llevar a cabo la protección de datos. Dicha comprobación se podrá realizar mediante una solicitud de información a través de un cuestionario al que se deberá adjuntar documentación acreditativa suficiente sin que sea idóneo dar por válido la mera respuesta positiva a todas las cuestiones planteadas en relación con las medidas exigidas por la normativa de protección de datos sin que exista una comprobación de la realidad de las mismas.

Por último, pasando a analizar la figura de la corresponsabilidad, esta supone que se realice un control y determinación de la finalidad del tratamiento conjunto entre ambas partes. Dicho tratamiento conjunto debe ser de carácter real sin que sea determinante el hecho de que exista un contrato en el que se detalle que se está ante una corresponsabilidad cuando, de facto, la determinación de los fines y los medios se lleve a cabo únicamente por una de las partes.

Por tanto, el escenario de la corresponsabilidad supone que dos o más responsables traten datos personales conjuntamente aunque sin necesidad de que tomen decisiones en relación con los objetivos y medios adoptadas al 50 % entre ambos.

Esta situación de corresponsabilidad deberá formalizarse por todas las partes involucradas a través de un acuerdo escrito indicando en el mismo los medios y fines del tratamiento, la colaboración en el análisis de riesgos, la asistencia en procesos de brechas de seguridad y de gestión de derechos, y la determinación de las responsabilidad de cada uno, entre otras cosas, además de ser siempre trasparentes de cara a los titulares de los datos a través de las correspondientes cláusulas de información.

En definitiva, aun así y después de haber delimitado estas tres figuras, en la práctica no todos los casos son claros y puede suceder que no estén bien diferenciadas. Ocurre a veces que el encargado se atribuye el rol de responsable, o que los responsabables quieren que los encargados asuman todas las responsabilidades, o que existan cesionarios que quieren ser tratados como corresponsables, o incluso que un corresponsable prefiera posicionarse contractualmente como encargado para no asumir toda la responsabilidad que entraña la figura de responsable.

Está en manos de cada uno pararse a pensar y colaborar conjuntamente entre las partes intervinientes para determinar qué tipo de tratamiento se está haciendo, quién está decidiendo sobre el mismo, y cómo se está llevando a cabo.