Intervinientes en el tratamiento de los datos personales
¿Qué posición puede adoptar la empresa como interviniente en el tratamiento de datos personales?
Cuando una organización accede y/o trata datos de carácter personal, puede hacerlo en calidad de Responsable del Tratamiento y/o de Encargado del Tratamiento.
El Responsable del Tratamiento es definido por el RGPD como “Persona física o jurídica, autoridad pública, servicio u otro organismo, que determina la finalidad, uso y contenido del tratamiento”
Ej. La “empresa XXXXX” es Responsable del Tratamiento de los datos de sus empleados porque decide sobre la finalidad, uso y contenido de su tratamiento (emisión de nóminas, impartición de formación, etc.).
Por su parte, el Encargado del Tratamiento es definido por el RGPD como “Persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable”
Ej. La “empresa YYYYYY” (gestoría laboral) es Encargada del Tratamiento de los datos de los empleados de la” empresa XXXXX” porque elabora las nóminas por cuenta de aquella.
A su vez, es importante tener en cuenta que el Encargado podrá subcontratar el servicio en otro tercero (lo que se conoce como “Subencargado”) y así sucesivamente (“Subencargados en cadena”), siempre y cuando se autorice por el responsable y los encargados que le siguen.
Son supuestos típicos de Encargados de Tratamiento las empresas dedicadas a la prestación de los siguientes servicios:
- Mantenimiento informático
- De videovigilancia
- De hosting de páginas web, de aplicaciones informáticas o de correo electrónico
- De prevención de riesgos laborales
- De destrucción de documentación
- Autónomos que trabajar para la organización
- Asesorías/gestorías/consultorías
- De formación del personal
- De marketing digital
Ej. La empresa de mantenimiento informático será la Encargada del Tratamiento de todas las empresas clientes, en tanto para prestarles el servicio pueden visualizar sus datos (datos de clientes, empleados, etc.). Las empresas clientes, por el contrario, serán Responsables del Tratamiento de dichos datos.
¿Y los trabajadores?
Como se ha podido comprobar, en el contexto empresarial, cuando hablamos de “Responsables del Tratamiento” o “Encargados del Tratamiento” nos referimos a la organización, y NO a las personas físicas que trabajan para la misma.
No obstante, las acciones de la organización al final acaban materializándose en sus trabajadores. En este sentido, es necesario distinguir las siguientes figuras:
Responsables de Protección de Datos
Los “Responsables de la Protección de Datos” son aquellas personas designadas por la empresa para:
- Promover una cultura de cumplimiento de la normativa sobre protección de datos.
- Coordinar todos los aspectos relativos a la misma.
Puede existir un Coordinador de toda la empresa y varios Responsables en función de los centros, programas o departamentos específicos que reporten al Coordinador.
No es necesario que sean expertos en la materia, pero si deben tener una formación más específica y sofisticada que el resto de empleados.
En caso de que la organización haya designado a un Delegado de Protección de Datos (DPO, interno o externo), los Responsables de Protección de Datos deben reportarle al mismo.
Empleados
Los empleados acceden y/o tratan continuamente datos de carácter personal (clientes, proveedores, otros empleados, etc.) para desempeñar sus funciones.
Por tanto, deben tener unas nociones básicas sobre la normativa de protección de datos vigente (deber de confidencialidad, qué es una violación de seguridad y cómo gestionarla, qué derechos de protección de datos pueden ejercer los interesados y cómo tramitarlos, etc.) para poder reportar a los Responsables de Protección de Datos cualquier situación que pueda poner en peligro la confidencialidad y seguridad de los datos de carácter personal.
Es necesario recalcar que, aunque los Responsables de Protección de Datos y los empleados son realmente en quienes efectúan en la práctica el tratamiento de datos de carácter personal, la multa o sanción pecuniaria en caso de incumplimiento recaería siempre en la empresa como Responsable del Tratamiento o Encargado del Tratamiento, y NO en el Responsable de Protección de Datos o en el empleado. Cuestión distinta es que luego la empresa pueda “repetir” contra el Responsable de Protección de Datos o el empleado, a nivel disciplinario o por la vía laboral y conseguir fundamentar un despedido procedente.
Puede contactar con nosotros si tiene alguna duda relacionada con el tratamiento de datos.