1780 - Sujetos y organismos responsables del tratamiento de datos personales para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales

Responsable y encargado del tratamiento de datos para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales

Establece la Directiva de la UE 2016/680 que los Estados miembros dispondrán que el responsable del tratamiento aplique las medidas técnicas y organizativas apropiadas para garantizar y estar en condiciones de demostrar que el tratamiento se lleva a cabo de conformidad con la citada directiva. Así mismo, también dispondrán que el responsable del tratamiento aplique las medidas técnicas y organizativas apropiadas de forma efectiva y para integrar las garantías necesarias en el tratamiento, teniendo en cuenta el estado de la técnica y el coste de la aplicación, y la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas planteados por el tratamiento. La aplicación de estas medidas técnicas y organizativas habrá de hacerse con miras a garantizar que solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento, destacando la directiva que tales medidas deben garantizar que los datos personales no sean accesibles, sin intervención de la persona, a un número indeterminado de personas físicas.

Los Estados miembros dispondrán que, cuando dos o más responsables del tratamiento determinen conjuntamente los objetivos y los medios de tratamiento, serán considerados corresponsables del tratamiento y deberán determinar de mutuo acuerdo cuáles serán sus respectivas responsabilidades y fijar el punto de contacto para los interesados.

En cuanto al encargado del tratamiento, podemos destacar que la mencionada directiva establece que los Estados miembros dispondrán que, cuando una operación de tratamiento vaya a ser llevada a cabo por cuenta de un responsable del tratamiento, este recurra únicamente a encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos de la presente directiva y garantice la protección de los derechos del interesado. El encargado no podrá recurrir a otro encargado si no existe autorización previa por escrito del responsable del tratamiento.

El tratamiento de datos por un encargado debe regirse por un contrato u otro acto jurídico que vincule al encargado con el responsable, fijando:

• El objeto y la duración del tratamiento.
• Su naturaleza y finalidad.
• Tipo de datos personales.
• Categorías de interesados.
• Obligaciones y derechos del responsable.

Además, el contrato dispondrá que el encargado del tratamiento:

a) Actúe únicamente siguiendo las instrucciones del responsable del tratamiento.

b) Garantice que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación profesional de confidencialidad.

c) Asista al responsable del tratamiento por cualquier medio adecuado para garantizar el cumplimiento de las disposiciones sobre los derechos del interesado.

d) Que una vez finalizada la prestación de los servicios de tratamiento, a elección del responsable, se supriman o devuelvan todos los datos personales al responsable del tratamiento, y se supriman también las copias existentes a menos que el derecho de la Unión o del Estado miembro requieran la conservación de los datos personales.

e) Ponga a disposición del responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones impuestas en el artículo 22 de la Directiva 2016/680.

f) Respete las condiciones establecidas para contratar a otro encargado del tratamiento.

CUESTIÓN

¿Qué ocurre cuando el encargado del tratamiento determina los fines y medios de dicho tratamiento, contraviniendo lo dispuesto en la Directiva UE 2016/680?

En estos casos, la directiva establece que será considerado responsable con respecto a ese tratamiento.

Los Estados miembros dispondrán que el encargado del tratamiento, así como cualquier persona que actúe bajo la autoridad del responsable o del encargado del tratamiento y tenga acceso a datos personales, solo pueda someterlos a tratamiento siguiendo instrucciones del responsable del tratamiento, a menos que esté obligado a hacerlo por el derecho de la Unión o de un Estado miembro (art. 23 de la Directiva UE 2016/680).

A TENER EN CUENTA. La normativa española hace referencia al responsable y al encargado de tratamiento en la protección de datos personales tratados para fines de prevención, detención, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones en los arts. 27 y siguientes de la LO 7/2021.

El delegado de protección de datos para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales

Los Estados miembros dispondrán que el responsable del tratamiento designe un delegado de protección de datos, que será nombrado atendiendo a sus cualidades profesionales, y en particular a sus conocimientos especializados en materia de protección de datos, y a su capacidad para desempeñar las funciones que se le atribuyan. Podrán eximir de esa obligación a los tribunales y demás autoridades judiciales independientes cuando actúen en ejercicio de sus competencias judiciales. Los datos de contacto del delegado de protección de datos serán comunicados por el responsable del tratamiento a la autoridad de control.

El art. 34 de la directiva —así como el art. 42 de la LO 7/2021— le atribuye al delegado de protección de datos las siguientes funciones:

• Informar y asesorar al responsable del tratamiento y a los empleados que se ocupen del mismo de las obligaciones que les incumben en virtud de la presente directiva y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.
• Supervisar el cumplimiento de lo dispuesto en la presente directiva, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable del tratamiento en materia de protección de datos personales, incluidas la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
• Ofrecer el asesoramiento que se le pida acerca de la evaluación de impacto relativa a la protección de datos y supervisar su realización.
• Cooperar con la autoridad de control.
• Actuar como punto de contacto de la autoridad de control para las cuestiones relacionadas con el tratamiento, y realizar consultas, en su caso, sobre cualquier otro asunto.

CUESTIÓN

¿Puede una misma persona ser nombrada delegado de protección de datos por distintos responsables del tratamiento?

Sí, varios responsables del tratamiento podrán nombrar conjuntamente a un mismo delegado de protección de datos teniendo en cuenta su estructura organizativa y tamaño, como, por ejemplo, en el caso de que compartan recursos en unidades centralizadas. Dicha persona también podrá ser designada para ocupar otros cargos dentro de la estructura organizativa de los responsables del tratamiento en cuestión. 

La autoridad de control en el cumplimiento de la Directiva de la UE 2016/680

La figura de la autoridad de control se regula en la Directiva UE 2016/680 en los considerandos 75 y siguientes y en los artículos 41 y siguientes.

Cada Estado miembro dispondrá que sea responsabilidad de una o varias autoridades públicas independientes supervisar la aplicación de la presente directiva, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento de sus datos personales y de facilitar la libre circulación de datos personales en la Unión (en lo sucesivo, «autoridad de control»).

Las autoridades de control deben supervisar la aplicación de las disposiciones adoptadas en aplicación de la presente directiva, y deben contribuir a su aplicación coherente en toda la Unión, con el fin de proteger a las personas físicas en relación con el tratamiento de sus datos personales. Para ello, las autoridades de control deben cooperar entre sí y con la Comisión.

A TENER EN CUENTA. Los Estados miembros pueden confiar a una autoridad de control, que ya haya sido creada de conformidad con el Reglamento (UE) 2016/679, la responsabilidad correspondiente a las funciones que hayan de desempeñar las autoridades nacionales de control que se creen con arreglo a lo dispuesto en la Directiva 2016/680.

Los Estados miembros velarán por la independencia de la autoridad de control, manteniéndola alejada de influencias externas, debiendo sus miembros abstenerse de cualquier acción incompatible con sus funciones.

El art. 44 de la directiva establece que cada Estado miembro dispondrá por ley los siguientes elementos:

• El establecimiento de cada autoridad de control.
• Las cualificaciones y condiciones de idoneidad requeridas para ser nombrado miembro de cada autoridad de control.
• Las normas y los procedimientos para el nombramiento del miembro o miembros de cada autoridad de control.
• La duración del mandato del miembro o miembros de cada autoridad de control, que no será inferior a cuatro años.
• El carácter renovable o no del mandato del miembro o miembros de cada autoridad de control y, en su caso, el número de veces que podrá renovarse.
• Las condiciones por las que se rigen las obligaciones del miembro o miembros y del personal de cada autoridad de control, las prohibiciones relativas a acciones, ocupaciones y prestaciones incompatibles con el cargo durante el mandato y después del mismo y las normas que rigen el cese en el empleo.

CUESTIÓN

¿Puede existir más de una autoridad de control?

Sí, la directiva establece que se debe autorizar a los Estados miembros a crear más de una autoridad de control con objeto de reflejar su estructura constitucional, organizativa y administrativa.  Cada autoridad de control debe disponer de un presupuesto anual público independiente, que podrá formar parte del presupuesto general estatal o nacional. Cuando en un Estado miembro estén establecidas varias autoridades de control, dicho Estado miembro designará la autoridad de control que vaya a representar a dichas autoridades en el Comité Europeo de Protección de Datos.

Es importante destacar que el considerando 80 de la directiva recoge que:

«Aunque la presente Directiva también se aplica a las actividades de los órganos jurisdiccionales nacionales y otras autoridades judiciales, la competencia de las autoridades de control no debe abarcar el tratamiento de datos personales cuando los órganos jurisdiccionales actúen en ejercicio de su función jurisdiccional, con el fin de garantizar la independencia de los jueces en el desempeño de sus funciones. Esta excepción debe limitarse a actividades judiciales en juicios y no debe aplicarse a otras actividades en las que puedan estar implicados los jueces, de conformidad con el Derecho del Estado miembro. Los Estados miembros pueden disponer también que la competencia de la autoridad de control no abarque el tratamiento de datos personales realizado por otras autoridades judiciales independientes en el ejercicio de su función jurisdiccional, por ejemplo la fiscalía. En todo caso, el cumplimiento de las normas de la presente Directiva por los órganos jurisdiccionales y otras autoridades judiciales independientes debe estar sujeto siempre a una supervisión independiente de conformidad con el artículo 8, apartado 3, de la Carta». 

Por su parte, el considerando 82 dispone que las competencias de la autoridad de control «no deben afectar a las normas específicas previstas para los procesos penales, incluidos la investigación y el enjuiciamiento de infracciones penales, ni a la independencia del poder judicial. Sin perjuicio de las atribuciones del ministerio fiscal con arreglo al Derecho del Estado miembro, las autoridades de control deben tener también competencia para poner en conocimiento de las autoridades judiciales las infracciones de la presente Directiva y/o capacidad para litigar».