Es cierto que en entender si nuestra organización actúa como responsable o encargado del tratamiento es esencial para entender las obligaciones a las que la misma está sujeta. Asimismo, es necesario tener en cuenta que las autoridades de control en materia de protección de datos (por ejemplo, la AEPD en España, CNIL en Francia o ICO en el Reino Unido) pueden llevar a cabo acciones en contra de ambas figuras, es decir de los responsables y de los encargados del tratamiento de los datos personales.
La autoridad de control inglesa ICO, ha publicado recientemente una lista de variables que pueden ayudar a determinar si nuestra organización asume el rol de responsable, corresponsable o encargado del tratamiento. A continuación, se detallan las mencionadas variables.
¿Somos el responsable del tratamiento?
☐ Decidimos obtener y tratar los datos personales.
☐ Decidimos cuál es la finalidad del tratamiento.
☐ Decidimos qué datos personales se deben obtener.
☐ Decidimos sobre qué personas recoger los datos personales.
☐ Obtenemos una ganancia comercial u otro beneficio gracias al tratamiento de los datos.
☐ Tratamos los datos personales como resultado de un contrato entre nuestra organización y los interesados (entendiendo interesados como los sujetos de los que se obtienen los datos personales).
☐ Los interesados son nuestros empleados.
☐ Tomamos decisiones sobre las personas afectadas como parte del tratamiento o como resultado del mismo.
☐ Ejercemos nuestro criterio profesional en el tratamiento de los datos personales.
☐ Tenemos una relación directa con los interesados.
☐ Tenemos total autonomía en el tratamiento de los datos personales.
☐ Hemos designado a los encargados del tratamiento para que traten los datos personales en nuestro nombre.
¿Somos corresponsables del tratamiento?
☐ Tenemos un objetivo común con otros en cuanto al tratamiento.
☐ Estamos tratando los datos personales con la misma finalidad que otro responsable del tratamiento.
☐ Para este tratamiento utilizamos el mismo conjunto de datos personales (por ejemplo, una base de datos) que otro responsable del tratamiento.
☐ Hemos diseñado la actividad o el tratamiento de datos personales con otro responsable del tratamiento.
☐ Tenemos reglas comunes de gestión de la información / datos personales con otro responsable.
¿Somos el encargado del tratamiento?
☐ Seguimos las instrucciones de un tercero, normalmente este tercero será otra organización, en relación con el tratamiento de datos personales.
☐ Un cliente o un tercero similar nos ha facilitado los datos personales, o nos ha indicado qué datos debemos recopilar.
☐ No decidimos obtener datos personales de particulares.
☐ No decidimos qué datos personales deben ser obtenidos de los individuos.
☐ No decidimos la base legal para el tratamiento de esos datos.
☐ No decidimos para qué finalidad se utilizarán los datos.
☐ No decidimos si revelamos los datos, o a quién.
☐ No decidimos cuánto tiempo conservaremos los datos.
☐ Podemos tomar algunas decisiones sobre cómo se tratan los datos, pero estas decisiones deben estar cubiertas bajo un contrato con otra organización.
☐ No nos interesa el resultado final del tratamiento.
Así pues, podemos resumir las características principales de cada uno de los tres roles o categorías analizadas anteriormente.
- Los responsables del tratamiento son los principales responsables de la toma de decisiones: ejercen un control global sobre los fines y medios del tratamiento de datos personales.
- Si dos o más responsables del tratamiento determinan conjuntamente los fines y medios del tratamiento de los mismos datos personales, son corresponsables del tratamiento. Sin embargo, no son corresponsables si tratan los mismos datos para fines diferentes.
- Los encargados del tratamiento actúan en nombre del responsable correspondiente y sólo bajo sus instrucciones.
Finalmente, no hay que olvidar que una misma organización puede actuar al mismo tiempo tanto de responsable como de encargado del tratamiento, en función de sus relaciones con terceros y de la gestión que realiza de los datos personales.
