El Reglamento Europeo de Protección de Datos paso a paso IV: El responsable y el encargado de tratamiento. Privacidad de datos desde el diseño y por defecto.

por Jorge Campanillas Ciaurriz

publicado el 25 mayo 2016

Categorías: Abogados / Abogados LOPD / Derechos Fundamentales / General / Normativa / Privacidad / Protección de Datos

El Reglamento Europeo de Protección de Datos paso a paso IV: El responsable y el encargado de tratamiento. Privacidad de datos desde el diseño y por defecto. Seguimos con la serie de entradas para analizar el Reglamento Europeo de Protección de Datos, en las anteriores entradas hablamos sobre los derechos a la limitación del tratamiento y a la portabilidad de los datos, los principios de consentimiento e información y de los derechos de acceso y supresión o derecho al olvido. En este caso haremos un rápido repaso a unas figuras de sobra conocidas en materia de protección de datos como son el responsable del tratamiento y el encargado de tratamiento. Realmente en el reglamento pocos cambios importantes encontramos en lo que se refiere a estas figuras, quizá acostumbrarnos a la terminología de «responsable de tratamiento», por la costumbre que hemos tenido de denominarlo como «responsable del fichero», desterrando esa figura del fichero y centrándonos como hace el Reglamento en los tratamientos de los datos personales.

Más allá de esta pequeña anécdota terminológica, quizá merece la pena detenerse un poco más en la figura del encargado de tratamiento, donde el Reglamento incluye además de las cláusulas ya conocidas en todo contrato con estos encargados, la posibilidad de permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable. El responsable del tratamiento, más allá de ese contrato «tipo» (incluso el legislador permite que las autoridades de control desarrollen cláusulas tipo a incluir en los contratos de encargado de tratamiento), podrá auditar e inspeccionar realmente que se cumplen las medidas y garantías necesarias en el tratamiento de datos personales.

Sin conocer ni saber realmente que va a pasar con nuestro real decreto de desarrollo de la LOPD, las medidas de seguridad a implantar, etc. resulta interesante la obligación que ha establecido el Reglamento para empresas con más de 250 trabajadores o aquellas que traten datos de categorías especiales (especialmente protegidos como salud, ideología, creencias, etc.)  de mantener un registro de actividades de tratamiento. Este registro que suena mucho a la obligación que tenemos de inscribir los ficheros en la AEPD, si bien no se obliga a su registro en la autoridad de control, si que se recoge la obligación de llevanza. Elr egistro, recogerá básicamente la información del tratamiento que se está realizando, como por ejemplo: nombre y contacto del responsable, fines del tratamiento, categorías de los interesados, encargados de tratamiento, etc. reitero, un registro muy parecido, pero en este caos más detallado del actual registro de los ficheros.

Ahora bien, para no escaparse de la normativa europea, como ha sucedido con las grandes multinacionales de internet y la «guerra» sobre la legislación aplicable, el reglamento ya establece la obligación para que los responsables o encargados de fuera de la Unión Europea pero que realicen tratamientos dentro del territorio tengan que designar un representante dentro de la Unión Europea para atender a las consultas, en particular, de las autoridades de control y de los interesados, sobre todos los asuntos relativos al tratamiento, a fin de garantizar el cumplimiento de lo dispuesto en el presente Reglamento.

Para finalizar este post y comenzar con las obligaciones del responsable del tratamiento en materia de seguridad, empezaremos con una de las grandes novedades del Reglamento y que debe hacer cambiar el desarrollo de la tecnología en la actualidad. En este caso el Reglamento (aunque a mi juicio de una forma quizá un tanto temerosa, por las coletillas siempre de según el estado de la técnica, el coste de la aplicación, etc.) recoge la obligación de aplicar la privacidad desde el diseño y por defecto:

Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.

El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.

Está claro, tal y como lo hemos comentado anteriormente, que el consentimiento explícito está en la base de todo el reglamento y por ello, cualquier aplicación debe estar por así decirlo, capada, siendo el interesado quien active la posibilidad de difusión de su información y datos personales.