Dentro de las diferentes figuras que aparecen en la Protección de Datos, como puede son el Delegado de Protección de Datos, el interesado o el destinatario, encontramos al responsable y al encargado del tratamiento.
Ambos son sujetos que van a tratar los datos o a decidir los fines del tratamiento de los datos personales recabados, si bien, como veremos, con diferencias. Así el RGPD en su artículo 4 los define de la siguiente manera:
El responsable del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determina los fines y medios del tratamiento
El encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.
De estas dos definiciones podemos sacar la diferencia principal entre una figura y la otra, y es que el responsable es el que decide los fines y medios del tratamiento mientras que el encargado actúa por cuenta del responsable, por lo que no puede tomar ninguna decisión sobre el fin del tratamiento.
En este punto es pertinente diferenciar los supuestos en los que el responsable cede los datos a un tercero, pues se pueden ceder para ser encargado de tratamiento o porque existe una cesión de datos. Se pueden dar dos situaciones:
Como podemos ver, lo que distingue a un responsable de un encargado es que el primero es el que decide activamente sobre la finalidad del tratamiento mientras que el segundo únicamente va a realizar el tratamiento que le ha indicado el responsable.
Como ejemplos de encargados de tratamiento encontramos:
La normativa de protección de datos, exige que obligatoriamente tenga de existir un contrato de tratamiento entre el responsable y el encargado, mediante el cual ambas partes se vinculen y establezcan diferentes aspectos de la relación como puede ser el objeto, la duración, la finalidad del tratamiento, el tipo de datos personales, o las obligaciones y derechos del responsable, entre otros.
La ausencia de dicho contrato supone una falta muy grave, sancionada duramente en el Reglamento, ya que se considera que se está realizando una cesión ilegal de datos, al no existir consentimiento o base legítima que permita al encargado acceder a los datos del interesado.
Además, el encargado está en la obligación de informar al responsable de toda situación de riesgo que pueda ver, incluso de si en su opinión las órdenes del responsable no respetan la normativa de protección de datos.
Igualmente, tiene prohibido contratar con otro encargado si no cuenta con autorización por escrito del responsable. Si se diera esta autorización, entre el encargado y el nuevo subencargado, también debería existir un contrato o un acto jurídico unilateral.
Por último, para que la relación entre responsable y encargado sea conforme a la Ley, debe respetar los requisitos establecidos en el artículo 33 LOPDGDD, es decir, respetar lo establecido en el Reglamento y que el tratamiento se realice con la exclusiva finalidad de prestar un servicio al responsable del tratamiento.