Hay una figura que ya está contemplada
en la normativa anterior al RGPD y que apenas se tiene en
consideración con la aparición del Delegado de protección de
datos. Se trata del Responsable del tratamiento o fichero
sobre la que pesa toda la responsabilidad de que los derechos y
libertades de los afectados por el tratamiento estén asegurados.
Por citar un ejemplo, a la hora de
realizar una evaluación de impacto el Responsable es quien
debe realizar o rendir cuentas sobre la ejecución de:
- describir el ciclo de vida de los
datos
- analizar la necesidad y
proporcionalidad del tratamiento
- identificar amenazas y riesgos
- evaluar los riesgos
- tratar los riesgos
- llevar establecer un plan de acción
y conclusiones
Por contra, el Delegado de protección
de datos se limita a asesorar y ser informada de las tareas que se
van realizando. Incluso el encargado del tratamiento solo interviene
para asesorar.
En este sentido, es necesario conocer
la figura del Responsable y sus obligaciones según el RGPD.
Concepto de Responsable del fichero
o tratamiento
Según el art. 4.7) del RGPD
es “la persona física o jurídica, autoridad pública, servicio
u otro organismo que, solo o junto con otros, determine los fines y
medios del tratamiento”.
El responsable puede ser cualquier
persona, empresa, organización u organismo público identificable.
Es la figura principal ya que es a ella con quien contactarán los
afectados, las autoridades de control y terceros.
Es la persona que determina los fines y
medios del tratamiento, esto es, decidirá qué datos personales son
necesarios recabar y almacenar, la finalidad del tratamiento y qué
medios se utilizarán. Además, el art. 24.1 del RGPD
exige que sea el mismo responsable el que aplique las “medidas
técnicas y organizativas apropiadas a fin de garantizar y poder
demostrar que el tratamiento es conforme con el presente Reglamento”,
desde el inicio. A esto se le denomina responsabilidad proactiva.
Hay que tener en cuenta que no siempre
es necesaria la figura del delegado de protección de datos, por lo
que el responsable deberá asumir mayores obligaciones.
Obligaciones desde el diseño y por
defecto
La Unión Europea ha tenido en cuenta
que la mejor forma de proteger los derechos y libertades de las
personas en cuanto a los datos personales es determinando los medios,
las medidas técnicas y organizativas desde el inicio, a partir del
momento en que se va a diseñar el fichero. Incluso antes de
recopilar los datos personales el responsable debe aplicar una serie
de medidas que garanticen todo el proceso.
Base legal
No pueden recopilarse datos personales
sin una finalidad concreta, por lo que el responsable debe establecer
en qué se basa para la recogida, almacenamiento y tratamiento. El
tratamiento de datos sin estar legitimados conlleva sanciones y pone
en riesgo los derechos y libertades de los afectados.
La base sobre la que puede estar
legitimado el responsable puede ser desde la necesidad de tratar
datos personales para llevar a cabo una relación contractual (por
ejemplo contratar los servicios de telefonía), con fines médicos
(en el caso de clínicas públicas y privadas), para mejorar el
servicio de postventa con ofertas más personalizadas, etc.
Esta
base legal debe proporcionarla el responsable a los interesados para
que estos estén informados desde el inicio. Hay que recordar que el
RGPD exige para la obtención de datos personales que el interesado
de su consentimiento de forma clara y expresa y para ello debe estar
totalmente informado.
Consentimiento del interesado
El responsable tiene la obligación de
demostrar que el interesado dio su consentimiento inequívoco
(art. 47.1 y 2 del RGPD). No obstante, hay situaciones
en las que también es obligatorio que el consentimiento sea
explícito cuando:
- se traten datos sensibles
- se adopten decisiones automatizadas
- se realicen transferencias
internacionales
El consentimiento implícito se
contempla cuando el interesado realiza una acción que lleva a
entender que acepta. Tal es el caso de continuar navegando por una
página web y permitir la utilización de cookies tras ser informado.
En cualquier caso, ya no pueden
aceptarse consentimientos por omisión, por lo que toda aceptación
anterior al 25 de mayo de 2018 que no pueda probarse deberá el
responsable solicitar al interesado su consentimiento.
Información más transparente
Siguen existiendo algunas web o
servicios de internet que incorporan una clausula estableciendo que
en caso de estar redactada en inglés la Política de privacidad,
esta predominará sobre las demás traducciones. Es decir, si existe
una deficiente traducción de los términos de privacidad, el texto
válido será el redactado en otro idioma. La Unión Europea pretende
que el interesado conozca de forma clara, concisa, inteligible y de
fácil acceso a las condiciones de los tratamientos de sus datos y
sus derechos. Si el responsable del tratamiento debe informar en
varios idiomas, es obligatorio que cada versión no deje dudas.
Así mismo, el lenguaje que debe
utilizarse ha de ser entendido por cualquier persona
independientemente de su nivel cultural, por lo que hay que evitar
demasiados tecnicismos y fórmulas que llevan a textos legales. La
información siempre se facilitará por escrito.
Derechos de los interesados
Al igual que el interesado puede
proporcionar datos personales y consentir su tratamiento, también
tiene derecho a:
- acceder a sus datos personales
- rectificar los datos existentes
- oponerse a que sus datos sean
tratados
- la eliminación o supresión de los
mismos, incluidas las copias y enlaces (Derecho al olvido)
- limitar el tratamiento durante un
tiempo determinado
- portar los datos a otro responsable
(por ejemplo solicitando la baja de un servicio y pidiendo la
portabilidad de los datos de una compañía telefónica a otra)
El responsable deberá informar al
interesado de qué forma y ante quien debe dirigirse para hacer valer
sus derechos.
Obligaciones durante el tratamiento
de datos personales
Tanto en el diseño como en el
desarrollo y posterior gestión de los ficheros, el responsable debe
tomar todas las medidas que garanticen los derechos y libertades de
los interesados. Al ser un proceso dinámico, hay que cerciorarse de
que tanto los datos como su tratamiento no estén expuestos a riesgos
y amenazas. Y en caso de producirse, saber dar respuesta a dichas
amenazas con el fin de minimizar las consecuencias negativas que
puedan producirse.
Baste citar como amenazas:
- Acceso ilegítimo de datos
- Modificación no autorizada de datos
- Eliminación de datos
El responsable tiene la obligación de
aplicar medidas técnicas y organizativas apropiadas (art.
25.1 del RGPD) para garantizar un nivel de seguridad
adecuado al riesgo. Entre las medidas pueden encontrarse:
- la seudonimización que
consiste en no asociar los datos personales con el interesado de
forma que no se sepa a quién pertenecen
- cifrado de datos personales o
eliminación de metadatos
- garantizar la confidencialidad,
disponibilidad, integridad de los datos personales y los sistemas
de tratamiento
- realizar copias de seguridad o
poder restaurar datos personales en caso de fallos técnicos
- verificar que las medidas de
seguridad son eficaces
Así mismo, el responsable debe
realizar un análisis de riesgos y una evaluación de
impacto con el objetivo de detectar las potenciales amenazas,
prevenirlas y actuar frente a ellas.
Registro de actividades
El tratamiento de datos personales
requiere de un proceso: recogida de datos, almacenamiento,
estructuración, clasificación, consulta, etc. Todas estas
actividades han de registrarse con el fin de mejorar la seguridad de
los datos y evitar posibles riesgos (art. 30 del RGPD).
El RGPD lo establece como obligatorio.
Este registro debe llevarlo a cabo el
responsable del fichero y actualizarlo cada vez que se produzca algún
cambio relevante. Y en caso de que la autoridad de control lo
solicite, el responsable deberá poner el registro a su disposición.
Colaboración con la autoridad de
control
El responsable del fichero, junto con
el Delegado de protección de datos, será el encargado de colaborar
con las autoridades de control (tanto la AEPD como la local) a las
que podrá consultar e informar de cualquier incidencia que pueda
producirse.