En ClickDatos sabemos que en muchas ocasiones es difícil saber quién es el Responsable del Tratamiento de datos personales según el RGPD. Es importante aclarar el concepto, ya que es una figura que suele confundirse con el encargado muy a menudo. Por ello, lo primero que queremos es que conozcas al protagonista de este post.
El responsable de datos personales en el RGPD
El responsable de datos personales en el RGPD es una persona física o jurídica, o bien una autoridad pública. También puede serlo un servicio u otro organismo que ya sea solo, o junto con alguno de los anteriores que te hemos mencionado, determina cuáles son los fines y los medios del tratamiento de los datos.
No obstante, debemos hacer un matiz sobre este concepto. El derecho de la Unión Europea de los Estados Miembros es el que determina cuáles son los fines y los medios del tratamiento. Por otro lado, los criterios para nombrar al responsable de tratamiento podrá establecerlos tanto el derecho de la UE, como el de los Estados Miembros de la misma.
Por otro lado, debemos aclarar que la definición de la figura del responsable del tratamiento deja clara cuál es la diferencia con el encargado del tratamiento. No obstante, por si acaso te queda alguna duda, te la aclaramos: el encargado tan solo se limita a tratar la información personal por cuenta de aquel.
Es decir, que será el responsable y no el encargado, el que tome las decisiones sobre el tratamiento de datos personales, exceptuando tan solo aquellas que se tomen por cuestiones técnicas y organizativas. Pues estas últimas puede delegarlas el responsable.
También es fundamental que tengas en cuenta que el hecho de que exista un encargado de tratamiento depende enteramente de la decisión del responsable. El responsable decidirá si trata los datos personales él solo por sí mismo o si preferirá encargar dicho tratamiento a otra persona, ya sea esta física, jurídica o incluso ajena a la empresa u organización del responsable.
¿Quién es el responsable de los datos personales en cada situación?
Como has podido ver, el Reglamento (UE) 2016/679 establece que puede ser tanto una persona física como una jurídica o una Administración Pública. Pero ¿no te parece una definición demasiado amplia? Si solo nos basamos en ella, ¿cualquier persona física o jurídica que decida una cuestión sobre cómo tratar datos personales será responsable del tratamiento?
La respuesta es que no. El papel fundamental que tiene un responsable de tratamiento es establecer quién asume la responsabilidad de cumplir las normas sobre protección de datos. También, determinar de qué forma pueden los interesados ejercer sus derechos en la vida práctica. Es decir, de acuerdo con el Reglamento Europeo de Protección de Datos, el responsable es quien designa la responsabilidad.
Cuando es responsable de datos una persona física
Una persona física puede ser responsable de datos cuando no se le puede aplicar una excepción por ser de uso doméstico. Es decir, imagina una agenda de contactos. Podría ser también de uso doméstico, por lo que no es posible que sea la persona física la responsable del tratamiento.
Cuándo es responsable de datos una persona jurídica, autónomo o Administración Pública
No hay demasiadas limitaciones para este tipo de responsables del tratamiento. Según el RGPD, cualquiera de estas tres figuras: autónomo, Administración Pública o persona jurídica, pueden ser responsables del tratamiento prácticamente siempre.
El Reglamento Europeo de Protección de Datos (RGPD) aplicado a responsables fuera de la UE
Hay una importante cuestión que debes tomar en consideración. Nos referimos a los límites en el ámbito de aplicación del RGPD. Con carácter general, el reglamento se aplicará al tratamiento de datos personales dentro del ámbito de las actividades de un establecimiento que pertenezca al responsable del tratamiento, según el artículo 3. Es decir, que no importa que el tratamiento se dé en la Unión Europea o no, el RGPD será aplicable.
Lo fundamental es que prestes atención a dónde se encuentra el establecimiento del responsable del tratamiento y no el lugar concreto donde se traten los datos. La razón es que el lugar del establecimiento es lo que determina que el RGPD sea aplicable.
Incluso en aquellos casos en los que el responsable acude a otro encargado de tratamiento y este último no esté establecido dentro del territorio de la Unión Europea, pues ten en cuenta que el establecimiento del responsable sí está en dicho territorio. No obstante, lo que si debemos aclararte es que el supuesto que acabamos de ponerte, supondría una transferencia internacional de datos.
El establecimiento del responsable
El establecimiento del responsable del que te acabamos de hablar es un concepto que también es necesario aclarar. Un establecimiento implica el ejercicio de una actividad de forma real, efectiva y mediante modalidades que sean estables. No importa que dichas modalidades sean filiales con personalidad jurídica o sucursales, pues no es este el factor fundamental que tenemos que tomar en consideración.
Por otro lado, si el responsable del tratamiento se encontrara establecido en diferentes Estados Miembros, debemos atender a cuál es su establecimiento principal para determinar el ámbito de aplicación del RGPD. Por establecimiento principal entendemos que es el lugar donde lleve a cabo su administración central dentro de la Unión Europea.
La excepción es que las decisiones sobre los objetivos y los medios del tratamiento de dato se tomen en un establecimiento diferente, el cual tenga la capacidad de hacer ejecutar dichas decisiones. En este caso, debemos entender que se trata de este el establecimiento principal.
Para finalizar, te vamos a contar dos supuestos en los que el RGPD resulta aplicable a un responsable aunque no se encuentre su establecimiento dentro del ámbito de la Unión Europea. Es el caso al que se refiere el artículo 3 del RGPD. En su apartado dos establece que el RGPD será aplicable a aquellos tratamientos que se relacionen con la oferta de bienes o servicios a interesados en la UE, sin importar si a estos al final se les requiere o no un pago).
En conclusión, para saber quién es el responsable de los datos personales hay varios criterios que puedes aplicar. Además, esta información debe ser transparente para las personas físicas que quieran ejercitar sus derechos contenidos en el Reglamento Europeo de Protección de Datos.