Existen diferencias entre Encargado y Responsable del tratamiento de los datos. Son las dos principales figuras que tienen acceso a los datos personales, siendo la diferencia principal es que el segundo dirige las funciones del primero. Veamos las diferencias y semejanzas entre ellas.
A pesar de que ambos son sujetos que tratan y deciden los fines del tratamiento de los datos recabados, existen una serie de diferencias entre Encargado y Responsable del tratamiento que veremos. Así el RGPD en su artículo 4 los define de la siguiente manera:
- El responsable del tratamiento: es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determina los fines y medios del tratamiento.
- El encargado del tratamiento: es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.
De estas dos definiciones sacamos su diferencia principal: El responsable es el que decide los fines y medios del tratamiento mientras que el encargado actúa por cuenta del responsable, por lo que no puede tomar ninguna decisión sobre el fin del tratamiento.
Los supuestos en los que el responsable cede los datos a un tercero, pues se pueden ceder para ser encargado de tratamiento o porque existe una cesión de datos. Se pueden dar dos situaciones:
- Que el tercero pueda utilizar los datos para las finalidades que estime oportunas. Tomando decisiones activas sobre los datos, nos encontramos ante una cesión de datos, sin que el tercero actúe como encargado.
- Que el tercero únicamente pueda usar los datos por encargo del responsable. Prestándole un servicio y sin decisión alguna, este supuesto es el de un encargado del tratamiento.
Como podemos ver, lo que distingue a un responsable de un encargado es que el primero es el que decide activamente sobre la finalidad del tratamiento mientras que el segundo únicamente va a realizar el tratamiento que le ha indicado el responsable.
Como ejemplos de encargados de tratamiento encontramos:
- Asesoría fiscal que se encarga de realizar las nóminas de la empresa.
- Empresa de seguridad que lleva las cámaras de video vigilancia.
- Servicios informáticos, como puede ser el servicio Cloud o el hosting.
- Empresas de marketing que llevan el posicionamiento web de una empresa.
La normativa de protección de datos, obliga a que se firme un contrato de tratamiento entre el responsable y el encargado. Con este contrato ambas partes se vinculan y establecen diferentes aspectos de la relación. Algunos ejemplos de la relación como puede ser el objeto, duración, finalidad, tipo de datos personales, entre otros.
La ausencia de dicho contrato supone una falta muy grave, sancionada duramente en el Reglamento. Se considera que se está realizando una cesión ilegal de datos, al no existir consentimiento o base legítima que permita al encargado acceder a los datos del interesado.
Además, el encargado está en la obligación de informar al responsable de toda situación de riesgo que pueda ver. En ella se incluyen las que si, en su opinión, las órdenes del responsable no respetan la normativa de protección de datos.
El cargado tiene prohibido contratar con otro encargado, salvo autorización por escrito del responsable. Si se diera esta autorización, entre el encargado y el nuevo subencargado, también debería existir un contrato o un acto jurídico unilateral.
Estas son las principales diferencias entre Encargado y Responsable del tratamiento. Conoce más detalles sobre el tratamiento de datos en nuestro blog, que puedes acceder en este enlace.
Si quieres que te proporcionemos un contrato de encargado de tratamiento para tu empresa o tu web contacta con nosotros a través de este formulario.