Continúa la evolución normativa en materia de Protección de Datos Personales, con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos. Dicho Reglamento deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos o RGPD) y por lo tanto surge la necesidad en España de adaptarse a esta nueva legislación, lo cual se hace finalmente a través de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) que implica la introducción de sustantivos cambios en materia de tratamiento de datos de carácter personal en el ámbito de actividad de una empresa.
Por ello, ahora más que nunca, surge la necesidad de nuevas figuras especializadas en esta materia capaces de implementar y mantener la protección de datos exigida por la legislación. A continuación expondremos la figura del responsable, encargado y delegado del tratamiento de datos de carácter personal, su importancia, funciones y las diferentes relaciones jurídicas que podemos encontrar.
- La diferencia entre el responsable y el encargado de datos de carácter personal.
Por un lado, el artículo 4 del RGPD define al responsable como “la persona física o jurídica, autoridad, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; (…).”Mientras que el encargado queda definido como “la persona física o jurídica, autoridad, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento; (…)”. Por lo tanto, el responsable será la persona que decida sobre los fines y medios de ese tratamiento y el encargado el que trate los datos en base a las directrices del responsable. Por su puesto, podrán existir corresponsables cuando sean dos o más responsables los que determinen conjuntamente los objetivos y los medios del tratamiento. (Art. 26 RDPD).
Así, es el responsable quien tendría “culpa in eligendo, y quien responde del cumplimiento de las obligaciones del RGPD y LOPDGDD. Por lo tanto, debe tener diligencia necesaria en la elección y supervisión de la figura de encargado. Para ello es importante tener en cuenta si el encargado cuenta con algunas garantías previstas por el RGPD, como la adhesión a códigos de conducta y la posesión de un certificado de protección de datos. La relación entre el encargado y el responsable debe estar regulada en los términos que establece el artículo 28 del RGPD, que señala que se debe incluir, entre otros aspectos: que el encargado tratará los datos según las instrucciones del responsable, adoptará las medidas de seguridad necesarias, suprimirá o devolverá los datos personales una vez finalice la prestación de servicios, etc.
A modo de resumen de este apartado, quien determine los fines y medios (inicio del tratamiento, fin, que datos van a tratarse, cuál es la finalidad, etc.), va a ser siempre responsable. Si son varios, serán corresponsables. Y el tercero que no decida sobre esos fines y medios pero que trate los datos porque el responsable se lo ha pedido, será un encargado del tratamiento.
Estas figuras se convierten en cruciales para cumplir con la normativa y evitar sanciones administrativas, cuya cuantía no es baladí.
2. La figura del delegado de protección de datos.
El artículo 37 del RGPD señala que el responsable y el encargado del tratamiento deben designar a un delegado de protección de datos, en determinadas situaciones. Por ejemplo, cuando el tratamiento lo lleve a cabo una autoridad u organismo público o en función de las actividades del responsable o del encargado: dependiendo de cual sea su alcance, fines y si requiere o no una observación habitual y sistemática de interesados a gran escala. Con ello, se establecen unos supuestos en los que es obligatorio disponer de esta figura y fuera de estos, será facultativo. El delegado, no requiere ser un jurista como tal, si bien debe tener “conocimientos especializados del Derecho y la práctica en materia de protección de datos”. Por su puesto debe estar capacitado para desempeñar las funciones señaladas en el art. 30 del RGPD, que incluye, entre otras: informar y asesorar al responsable o al encargado, supervisar el cumplimiento de lo previsto en la legislación de la materia y asesoramiento en materia de impacto relativo a la protección de datos.
3. La relación del abogado-cliente. Abogado responsable.
Cuando un cliente persona física trae un asunto personal a un despacho, este incluirá datos de otras partes, de testigos y en general de todas las personas que formen parte del litigio o caso a resolver. En estas situaciones, lo normal y lo aconsejable es firmar una hoja de encargo -no obstante, no es obligatoria- pero además de ello, deberemos de cumplir con las obligaciones estipuladas en el RGPD y en la LOPDGDD. Concretamente, con el deber de información básica ex art. 11 LOPDGDD , y 13 y 14 del RGDPD (identidad del responsable del tratamiento, finalidad del tratamiento, posibilidad de ejercer derechos, etc. ). En este caso el abogado será el responsable, pero el cliente no es un encargado, ya que no determina ni los fines ni los medios que quedan definidos libremente por el abogado.
4. Encargado y Responsable.
Cabe que una empresa responsable encargue a otra (que se convertirá en encargada) el tratamiento de datos de carácter personal. En ese caso, recordemos que se tiene que firmar un contrato según el ya mencionado artículo 28 LGPD para regular esa relación. Por lo tanto siempre que una persona física o jurídica (normalmente jurídica, una empresa) encomienda a otra persona física o jurídica, el tratamiento de sus datos personales se está dando una relación de responsable (la primera) y encargado (la segunda), siempre y cuando sea la primera la que determine esos fines y medios.
Para concluir, debemos dejar clara la diferencia entre la relación abogado-cliente y responsable-encargado. El responsable debe siempre determinar los fines y medios del tratamiento y dar instrucciones al encargado que deberá seguirlas. En el caso del abogado-cliente, este último no será encargado ya que no da instrucciones al primero si no que el abogado tiene libertad para decidir que medios y estrategias utiliza para conseguir el fin último que es la satisfacción del cliente. Por lo tanto, aunque cumpliremos con los deberes de información, en este último caso, no hay encargo del tratamiento y por lo tanto no es necesario formalizar ningún contrato con las exigencias del artículo 28 del RGPD entre el abogado y el cliente, lo cual no obsta a que el Abogado no sea el responsable del tratamiento. La relación responsable-encargado, se dará, como hemos visto cuando el uno encargue al otro el tratamiento de datos personales, determinando cómo, cuándo, y en que medida debe realizarse.