La reciente resolución de la Agencia Española de Protección de Datos (“AEPD”) nº PS/00185/2022 de fecha 27 de marzo de 2023 (la “Resolución”), ha concluido que la entidad que decide los fines y los medios del tratamiento de datos es responsable con independencia de si esa entidad accede o no a los datos personales tratados..
En atención a las definiciones que ofrece el artículo 4 del RGPD, los conceptos de responsable del tratamiento y encargado del tratamiento no son una mera cuestión formal sino funcional y deberán adecuarse al caso en concreto.
¿El encargado de protección de datos ha de tener acceso a dicha información?
El responsable del tratamiento es quien decide los fines y medios del tratamiento, y quien asume la obligación de cumplir con la correcta aplicación de la normativa en materia de protección de datos, garantizar los derechos de los interesados y poder demostrarlo, lo cual se extiende durante todo el periodo del tratamiento.
La Resolución identifica la forma en que deberá actuar el responsable del tratamiento como diligente, consciente, comprometida y activa.
Ello, sin perjuicio de que pueda externalizar la actividad de tratamiento, bien sea de manera total o parcial, sobre la figura del encargado de tratamiento, que tratará los datos personales en nombre y por cuenta del responsable y actuará bajo su dirección, como mínimo, en lo referido a la finalidad y los medios esenciales del tratamiento encomendado.
Tal externalización deberá producirse en el marco de un contrato u acuerdo, donde el responsable establezca unas directrices de cumplimiento claras y precisas sobre las cuales versará la actividad del encargado, y será el responsable quien tenga el deber de asegurarse de que el contrato se desarrolla de acuerdo con lo establecido en el mismo.
El encargado tiene, a su vez, un papel relevante a la hora de cumplir con la normativa y garantizar los derechos de los afectados, en tanto tiene el deber de colaborar con el responsable para tales fines.
No obstante, es el responsable quien tiene el deber de determinar los fines y medios del tratamiento de datos, “no perdiendo tal condición por el hecho de dejar cierto margen de actuación al encargado del tratamiento o por no tener acceso a las bases de datos del encargado” (Resolución, pg. 24).
En consecuencia, el responsable del tratamiento lo será con independencia de que deje en manos del encargado del tratamiento los aspectos más prácticos de la implementación del tratamiento, y con independencia de que el segundo pueda o no tener acceso a los datos.
Autoras: Sofía Pérez | Inés Millet
