El rol del responsable del tratamiento de datos

UNIR Revista

El responsable del tratamiento de datos personales debe adoptar las medidas necesarias para cumplir con la normativa aplicable a dicha actividad.

Los datos personales son toda información que identifica o puede identificar a una persona física. Incluyen datos básicos como nombre, documento nacional de identidad, dirección o correo electrónico, así como categorías especiales como datos de salud, biométricos o ideológicos. Dado que estas informaciones se entregan de forma habitual a empresas y administraciones en gestiones cotidianas, es necesario que existan mecanismos de protección que garanticen su uso legítimo, seguro y limitado a la finalidad para la que fueron recabados. De ahí que exista la figura de responsable del tratamiento de datos.

Este profesional, formado gracias a posgrados como el Máster en Protección de Datos online de UNIR, debe aplicar la normativa vigente y establecer las medidas necesarias para salvaguardar las mismas.

¿Qué ley regula el tratamiento de datos personales?

En el año 2018, España adoptó el Reglamento (UE) 2016/679, más conocido como Reglamento General de Protección de Datos (RGPD), a través de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

Esta legislación pone la atención en la importancia de que salvo que la empresa, institución o persona que por razón de su actividad, esté legitimada para acceder a esta información, es necesario contar con la autorización del afectado para el tratamiento de sus datos personales con una finalidad concreta (artículo 6.1 de la LOPDGDD).

¿Qué hace el responsable del tratamiento de datos?

Como se especifica en el artículo 28.1 de la LOPDGDD, el responsable de tratamiento de datos determinará “las medidas técnicas y organizativas apropiadas que deben aplicar con el fin de garantizar y acreditar que el tratamiento es conforme con el citado reglamento, con la presente ley orgánica, sus normas de desarrollo y la legislación sectorial aplicable”. En este sentido, deberá valorar si se debe realizar una EIPD o evaluación de impacto de protección de datos.

Por otro lado, es importante diferenciar entre la figura del responsable y la del encargado del tratamiento de datos. Mientras que el primero, como explican desde la Comisión Europea, “determina los fines y los medios relacionados con el tratamiento de los datos personales”, el encargado “trata los datos personales únicamente por cuenta del responsable del tratamiento”.

¿Cómo se deben tratar los datos personales?

Los principios que deben regir la actuación del responsable del tratamiento de datos personales son:

• Que la información debe ser exacta y actualizada (artículo 4 LOPDGDD).
• La obligación de confidencialidad con respecto de la información recabada (artículo 5 LOPDGDD).
• El tratamiento debe estar basado en el consentimiento del afectado (artículo 6 LOPDGDD), salvo que se tenga una causa legítima para tener acceso a ella, y estará únicamente vinculado a los objetivos para los que se solicitó la autorización.
• El deber de transparencia e información al afectado sobre los aspectos básicos que afectan a la actividad, como quién será el responsable del tratamiento, cuál será la finalidad del mismo, así como los derechos que le amparan (artículo 11 LOPDGDD).

¿Qué derechos contempla el tratamiento de datos personales?

En base a la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales, la persona afectada por el tratamiento de datos personales podrá:

• Acceder a la información recabada sobre él (artículo 13 LOPDGDD).
• Solicitar la rectificación de datos erróneos (artículo 14 LOPDGDD).
• Pedir la supresión de la información (artículo 15 LOPDGDD).
• Limitar el tratamiento que se pueda realizar de los datos (artículo 16 LOPDGDD).
• Tener derecho a la portabilidad o recibir y entregar los datos personales que se tengan sobre él (artículo 17 LOPDGDD). A este respecto, la Agencia Española de Protección Datos (AEPD) recuerda que se le entregarán “en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado”.
• Tener capacidad de oposición al tratamiento de los datos, “así como los derechos relacionados con las decisiones individuales automatizadas, incluida la realización de perfiles, se ejercerán de acuerdo con lo establecido, respectivamente, en los artículos 21 y 22 del Reglamento (UE) 2016/679” (artículo 18 LOPDGDD).

Bibliografía

• Agencia Española Protección Datos (AEPD). https://www.aepd.es/
• Datos personales: qué son y cómo se tratan. Comunidad de Madrid. https://www.comunidad.madrid/gobierno/informacion-juridica-legislacion/datos-personales-son-tratan
• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. (6 de diciembre de 2018). BOE. https://www.boe.es/buscar/act.php?id=BOE-A-2018-16673
• ¿Qué es el derecho a la portabilidad de los datos?Agencia Española Protección Datos (AEPD). https://www.aepd.es/preguntas-frecuentes/1-tus-derechos/FAQ-0113-que-es-el-derecho-a-la-portabilidad-de-los-datos
• ¿Qué es un responsable o encargado del tratamiento? Comisión Europea. https://commission.europa.eu/law/law-topic/data-protection/rules-business-and-organisations/obligations/controllerprocessor/what-data-controller-or-data-processor_es
• Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). (4 de mayo de 2016). «DOUE» núm. 119, páginas 1 a 88. https://www.boe.es/buscar/doc.php?id=DOUE-L-2016-80807