Читать книгу Derecho digital - José F. Estévez - Страница 9

Cuando tratamos datos de carácter personal, lo primero que debemos determinar es si tenemos la condición de responsable del fichero o, por el contrario, somos encargados del tratamiento. Esta distinción es muy importante porque de ella derivarán las obligaciones que, como sujetos obligados, deberemos de cumplir:

- En el caso de ser responsables del fichero, esto es, quienes deciden sobre las finalidades del tratamiento o el destino de los mismos, debemos contar con los procedimientos para cumplir con todas las obligaciones impuestas por la normativa (V.gr. Información, consentimiento, medidas de seguridad, selección de proveedores que garanticen el cumplimiento del RGPD, etc. )

- En el caso de ser encargados del tratamiento, esto es, se tratan determinadas categorías de datos para prestar servicios a un tercero (normalmente nuestro cliente) y únicamente conforme a sus instrucciones. Como veremos más adelante, aunque con el RGPD, se controla en mayor medida el papel de los encargados y sus responsabilidad, lo cierto es que en este caso, debemos cumplir con las instrucciones del Responsable (cliente o tercero al que prestamos servicio) y con lo que hayamos pactado en el contrato que debe contar con ciertas garantías y contenido, como se analiza más adelante.

De lo anterior, podemos colegir que la clave para distinguir si somos responsables o encargados es preguntarnos ¿Quién decide sobre el uso de los datos? Si lo único que hacemos es tratar datos conforme a instrucciones o para prestar un servicio, seremos encargados del tratamiento. Ejemplos clásicos de encargados del tratamiento serían, las gestorías de recursos humanos que elaboran nóminas para sus clientes. Dichas gestorías precisan acceder a datos de los empleados de sus clientes para poder elaborar las nóminas, lo que implica que utilizarán los datos únicamente con esta finalidad. Si empleara dichos datos para sus propios fines, por ejemplo el envío de publicidad de los servicios de la gestoría a dichos empleados, asumiría el rol de responsable.

El RGPD regula también la figura de los corresponsables del tratamiento. Cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento serán considerados corresponsables del tratamiento. Éstos deberán determinar de modo transparente y de mutuo acuerdo sus responsabilidades en materia de protección de datos, en particular en cuanto al ejercicio de derechos por los interesados y a los efectos de la información que cada uno de ellos se obliga a dar a los interesados. La división de responsabilidades deberá reflejarse en un acuerdo, poniendo a disposición de los interesados los aspectos esenciales del mismo, si bien éstos podrán solicitar ante cualquiera de los corresponsables del tratamiento el ejercicio de sus derechos. La figura de las co-responsables puede darse en grupos de empresas y también en proyectos conjuntos entre varias empresas, sean del mismo grupo o no.