150 - ¿Cómo es el régimen de responsabilidad aplicable al tratamiento de los datos personales?

El régimen de responsabilidad en el tratamiento de datos suele definirse como proactivo, esto es, es la responsabilidad que surge por el simple hecho de tratar datos personales y que exige cumplir con una serie de principios, procedimientos y protocolos determinados.

Responsabilidad proactiva del responsable del tratamiento en el RGPD

Artículo 5 del RGPD

«1. Los datos personales serán:

a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»);

b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales ("limitación de la finalidad");

c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);

d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan ("exactitud");

e) mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado ("limitación del plazo de conservación");

f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas ("integridad y confidencialidad").

2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo ("responsabilidad proactiva")».

En lo que nos ocupa, el responsable del tratamiento de datos será responsable del cumplimiento de lo regulado en el apartado primero del artículo 5 del RGPD y, además, tendrá que ser capaz de demostrarlo.

A TENER EN CUENTA. Tan pronto como el responsable del tratamiento tenga conocimiento de que se ha producido una violación de la seguridad de los datos personales, el responsable debe, sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, notificar la violación de la seguridad de los datos personales a la autoridad de control competente, a menos que el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas físicas. Si dicha notificación no es posible en el plazo de 72 horas, debe acompañarse de una indicación de los motivos de la dilación, pudiendo facilitarse información por fases sin más dilación indebida (considerando 85 del RGPD).

CUESTIONES

1. ¿Qué principios se regulan en el apartado primero del artículo 5 del RGPD?

El art. 5 del RGPD hace referencia a los siguientes principios:

- Principio de licitud, lealtad y transparencia.

- Principio de limitación de la finalidad.

- Principio de minimización de datos.

- Principio de exactitud.

- Principio de limitación del plazo de conservación.

- Principio de integridad y confidencialidad.

2. ¿Cuáles son las obligaciones generales del responsable del tratamiento y encargado del tratamiento?

Las obligaciones generales del responsable y encargado del tratamiento se encuentran en las siguientes normas del RGPD:

- Responsabilidad del responsable del tratamiento (artículo 24 del RGPD).

- Protección de datos desde el diseño y por defecto (artículo 25 del RGPD).

- Corresponsables del tratamiento (artículo 26 del RGPD).

- Representantes de responsables o encargados del tratamiento no establecidos en la Unión (artículo 27 del RGPD).

- Encargado del tratamiento (artículo 28 del RGPD).

- Tratamiento bajo la autoridad del responsable o del encargado del tratamiento (artículo 29 del RGPD).

- Registro de las actividades de tratamiento (artículo 30 del RGPD).

- Cooperación con la autoridad de control (artículo 31 del RGPD).

En concreto, el apartado primero del artículo 24 del RGPD establece que el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el RGPD, estimando diversos factores como:

- La naturaleza del tratamiento.

- El ámbito del tratamiento.

- El contexto del tratamiento.

- Los fines del tratamiento.

- Los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas.

Ahora bien, dichas medidas se revisarán y actualizarán cuando sea necesario.

3. ¿Qué función de las encomendadas al delegado de protección de datos (DPD) se refiere al control de cumplimiento del RGPD?

En virtud de lo dispuesto en el artículo 39.1.b) del RGPD, el DPD deberá dentro de las funciones mínimas que tiene encomendadas:

«b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes».

Además, con respecto a las funciones de la referida figura de control, las Directrices sobre delegados de protección de datos (DPD) del grupo de trabajo sobre protección de datos del artículo 29, recogidas en la página web de la Agencia Española de Protección de Datos (AEPD), aclaran lo siguiente:

 «4.1. Supervisión de la observancia del RGPD

El artículo 39, apartado 1, letra b), encomienda a los DPD, entre otras obligaciones, la de supervisar la observancia del RGPD. El considerando 97 especifica además que, "al supervisar la observancia interna del presente Reglamento, el responsable o el encargado del tratamiento debe contar con la ayuda" del DPD. 

Como parte de esas obligaciones de supervisión de la observancia, los DPD pueden, en particular:

- Recabar información para determinar las actividades de tratamiento;

- Analizar y comprobar la conformidad con la normativa de las actividades de tratamiento;

- Informar, asesorar y emitir recomendaciones al responsable o al encargado del tratamiento.

Supervisar la observancia no significa que el DPD sea personalmente responsable de cualquier caso de inobservancia. El RGPD establece claramente que es el responsable y no el DPD quien está obligado a aplicar "medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento" (artículo 24, apartado 1). El cumplimiento de las normas en materia de protección de datos es responsabilidad corporativa del responsable del tratamiento, no del DPD».

Medidas de responsabilidad activa de la LOPDGDD

Artículo 28.1 de la LOPDGDD

«1. Los responsables y encargados, teniendo en cuenta los elementos enumerados en los artículos 24 y 25 del Reglamento (UE) 2016/679, determinarán las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el citado reglamento, con la presente ley orgánica, sus normas de desarrollo y la legislación sectorial aplicable. En particular valorarán si procede la realización de la evaluación de impacto en la protección de datos y la consulta previa a que se refiere la Sección 3 del Capítulo IV del citado reglamento».

En suma, los responsables y encargados del tratamiento de datos, sin perjuicio de lo dispuesto en los artículos 24 y 25 del RGPD, acordarán las medidas técnicas y organizativas apropiadas para garantizar y acreditar que el tratamiento es conforme a las siguientes normas:

• RGPD.
• LOPDGDD.
• Normas de desarrollo.
• Legislación sectorial aplicable.

Asimismo valorarán si es pertinente realizar una evaluación de impacto en la protección de datos y la consulta previa de la sección tercera del capítulo cuarto del RGPD.

CUESTIÓN

¿Qué deberes de los responsables y encargados del tratamiento regulan los artículos 24 y 25 del RGPD?

Los arts. 24 y 25 del RGPD regulan lo siguiente:

- Responsabilidad del responsable del tratamiento (artículo 24 del RGPD).

- Protección de datos desde el diseño y por defecto (artículo 25 del RGPD).

Artículo 28.2 de la LOPDGDD

Es decir, para la adopción de las referidas medidas, los responsables y encargados del tratamiento considerarán los posibles peligros derivados de los siguientes casos:

• Situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los afectados.
• Privación de derechos y libertades de los afectados o pudiese impedirles el ejercicio de control sobre sus datos personales.
• Tratamiento no meramente incidental o accesorio de las categorías especiales de datos o de los datos relacionados con la comisión de infracciones administrativas.
• Evaluación de aspectos personales de los afectados con el fin de crear o utilizar perfiles personales de los mismos (rendimiento en el trabajo, situación económica, salud, preferencias o intereses personales, fiabilidad o comportamiento, solvencia financiera, localización o sus movimientos).
• Tratamiento de datos de grupos de afectados en situación de especial vulnerabilidad (menores de edad y personas con discapacidad).
• Tratamiento masivo con un gran número de afectados o comporte la recogida de una gran cantidad de datos personales.
• Datos personales objeto de transferencia ordinaria a terceros Estados u organizaciones internacionales con un nivel de protección no adecuado. 
• Otros que a criterio del responsable o del encargado del tratamiento pudieran ser relevantes, en concreto, los regulados en códigos de conducta y estándares definidos por esquemas de certificación.

CUESTIÓN

¿A qué categorías de datos se refieren los artículos 9 y 10 del RGPD y de la LOPDGDD?

Los referidos artículos se refieren a las siguientes categorías de datos:

- Categorías especiales de datos (artículo 9 de la LOPDGDD).

- Tratamiento de datos de naturaleza penal (artículo 10 de la LOPDGDD).

- Tratamiento de categorías especiales de datos personales (artículo 9 del RGPD).

- Tratamiento de datos personales relativos a condenas e infracciones penales (artículo 10 del RGPD).

A este respecto, la Guía del Reglamento General de Protección de datos para responsables del tratamiento de la Agencia Española de Protección de datos (AEPD) enumera las siguientes medidas de responsabilidad activa:

• Análisis de riesgo.
• Registro de actividades de tratamiento.
• Protección de datos desde el diseño y por defecto.
• Medidas de seguridad.
• Notificación de «violaciones de seguridad de los datos».
• Evaluación de impacto sobre la protección de datos.
• Delegado de protección de datos.