Entrada 5 — Responsables, encargados y gobernanza del dato (Protección de Datos de Carácter Personal en España)

 

Entrada 5 — Responsables, encargados y gobernanza del dato

Protección de Datos de Carácter Personal en España

La protección de datos no es solo una cuestión jurídica o tecnológica. Es también una cuestión de gobernanza: quién decide, quién ejecuta, quién supervisa.

Comprender los roles en el tratamiento de datos es esencial para aplicar correctamente el RGPD y para evitar errores que pueden tener consecuencias legales y reputacionales.

Esta entrada explica los conceptos clave: responsable, encargado, corresponsables, subencargados, y el papel del Delegado de Protección de Datos (DPD).

 

1. El responsable del tratamiento

Es quien decide los fines y medios del tratamiento.

Puede ser una persona física, jurídica, administración pública, fundación, etc.

Sus obligaciones incluyen:

·       Informar al interesado

·       Garantizar los principios del tratamiento

·       Aplicar medidas de seguridad

·       Documentar decisiones

·       Atender derechos

·       Designar DPD si procede

Ejemplo: una clínica médica que decide qué datos recoger, cómo almacenarlos y con qué finalidad, es responsable del tratamiento.

 

2. El encargado del tratamiento

Es quien trata los datos por cuenta del responsable, siguiendo sus instrucciones. No decide por sí mismo los fines ni los medios.

Debe existir un contrato de encargo que incluya:

·       Objeto, duración, naturaleza y finalidad del tratamiento

·       Tipo de datos y categorías de interesados

·       Obligaciones y derechos del responsable

·       Medidas de seguridad

·       Subencargados autorizados

·       Devolución o destrucción de datos al finalizar el servicio

Ejemplo: una empresa de hosting que almacena datos de clientes por encargo de una tienda online.

 

3. Corresponsables y subencargados

·       Corresponsables: dos o más entidades que deciden conjuntamente los fines y medios del tratamiento. Deben definir sus responsabilidades respectivas y comunicarlo al interesado.

·       Subencargados: terceros contratados por el encargado para realizar parte del tratamiento. Solo pueden intervenir si el responsable lo autoriza expresamente.

Ejemplo: una universidad y una empresa que gestionan conjuntamente una plataforma de prácticas académicas.

 

4. Registro de Actividades de Tratamiento (RAT)

Es un documento obligatorio para responsables y encargados que no sean microempresas.

Debe incluir:

·       Finalidades del tratamiento

·       Categorías de interesados y de datos

·       Destinatarios

·       Transferencias internacionales

·       Plazos de conservación

·       Medidas de seguridad

El RAT no es un formulario. Es una herramienta de control y trazabilidad.

 

5. El Delegado de Protección de Datos (DPD/DPO)

Es una figura clave en la gobernanza del dato. Debe tener conocimientos especializados, actuar con independencia y ser accesible para interesados y autoridades.

Sus funciones incluyen:

·       Informar y asesorar al responsable o encargado

·       Supervisar el cumplimiento

·       Cooperar con la AEPD

·       Ser punto de contacto

No responde personalmente por incumplimientos, pero sí debe actuar con diligencia.

Ejemplo: una administración pública debe designar un DPD por obligación legal.

 

6. Cierre: gobernar el dato es gobernar la confianza

La protección de datos exige claridad en los roles, trazabilidad en las decisiones y responsabilidad compartida. Una buena gobernanza no solo evita sanciones: construye confianza, mejora procesos y fortalece la cultura organizativa.

En la próxima entrada abordaremos la seguridad de la información aplicada a datos personales.