Información jurídica inteligente
 España | 900 649 672

Obligaciones generales del responsable y del encargado del tratamiento y su traslación al ámbito de la empresa

Document Citas 13 Citado por Relacionados
Vincent
AutorJosé Luis Goñi Sein
Páginas137-170
137
CAPÍTULO IX
OBLIGACIONES GENERALES DEL RESPONSABLE Y DEL
ENCARGADO DEL TRATAMIENTO Y SU TRASLACIÓN AL
ÁMBITO DE LA EMPRESA
El verdadero carácter innovador del Reglamento (UE) 2016/679 radi-
ca en las obligaciones que impone al responsable del tratamiento de
datos y, en ocasiones, a los encargados de tratamiento. En este senti-
do, se advierte un cambio de perspectiva, ya que se ha producido un
reforzamiento de la protección de datos, pero no como consecuencia
de la incorporación de nuevos derechos de los interesados, sino del
fuerte incremento de los deberes de los titulares y responsables del
tratamiento. Así las cosas, lo que cobra verdadera importancia es la
responsabilidad del tratamiento de datos.
El Reglamento UE reserva precisamente una parte signif‌icativa de
su articulado a regular las obligaciones generales del responsable del
tratamiento y del encargado de tratamiento. En concreto, dedica el
Capítulo IV que consta de cuatro secciones, y comprende los artícu-
los 24 a 43. La Directiva 95/46/CE se limitaba en sus tres artículos
(17-19) específ‌icos sobre la materia, simplemente a exigir, a grandes
rasgos, la adopción de medidas de seguridad y la notif‌icación a la au-
toridad de control. Ahora, el Reglamento (UE) 2016/679 establece toda
una “procedimentalización de las obligaciones del responsable del
tratamiento”121.
Las empresas que gestionan datos personales tienen muchas más obli-
gaciones. A diferencia de lo que sucedía hasta ahora, que se atendía
únicamente a la tipología de datos tratados y en función de ello se
determinaba el nivel de seguridad aplicable en cada caso, ref‌lejándolo
luego en el documento de seguridad, se exige a las organizaciones y
empresas, en particular, una actitud menos formalista y más proactiva
121 OGRISEG, C.: “Il Regolamento UE n.2016/679 e la protezione dei dati personali
nelle dinamiche giuslavoalistiche: la tutela riservata al dipendente”, cit., págs. 48-49.
138
JOSÉ LUIS GOÑI SEIN
y responsable, basado en un análisis de los riesgos potenciales concre-
tos que los tratamientos de datos efectuados por ellas puedan tener
para los derechos de las personas afectadas.
La reforma de la regulación de protección de datos supone, como ha
señalado la AEPD, un cambio del modelo tradicional para afrontar las
medidas que garantizan la protección de los datos personales hacia un
nuevo modelo más dinámico, adaptado a la profunda transformación
tecnológica que se está produciendo en el ámbito del tratamiento de la
información personal y enfocado a la gestión continua de los riesgos
potenciales asociados al tratamiento desde su diseño.
Adicionalmente, el Reglamento (UE) 2016/679 introduce el principio
de responsabilidad proactiva (“accountability”) de quienes tratan datos
personales, lo que requiere que estos analicen qué datos tratan, con
qué f‌inalidades lo hacen y qué tipo de tratamientos llevan a cabo con el
objetivo de determinar qué medidas son adecuadas para cumplir con
lo dispuesto en el RGPD.
1. LA RESPONSABILIDAD DEL RESPONSABLE DEL TRATAMIENTO: EX-
TENSIÓN
La obligación fundamental que f‌ija el precitado artículo 24 del Regla-
mento (UE) 2016/679 en materia de tratamiento de datos personales,
es la de la “responsabilidad del responsable del tratamiento” por cual-
quier tratamiento de datos realizado por él o por su cuenta.
Tal responsabilidad implica la obligación del titular de la empresa o de
la organización de aplicar las medidas técnicas y organizativas apro-
piadas para garantizar y poder demostrar la conformidad de las acti-
vidades de tratamiento con el Reglamento, incluida la ef‌icacia de las
medidas.
Tales medidas se deben adoptar teniendo en cuenta la naturaleza, el
ámbito, el contexto y los f‌ines del tratamiento, así como los riesgos de
diversa probabilidad y gravedad para los derechos y libertades de las
personas físicas. Cabe precisar, además, que estas medidas deberán ser
revisadas y actualizadas cuando sea necesario (art. 24.1 RGPD).
Al responsable del tratamiento le corresponde la prueba de que las
medidas son adecuadas y convenientes. A f‌in de poder demostrar la
conformidad con el Reglamento UE, el responsable debe adoptar polí-
ticas internas de protección de datos en relación con las actividades de
tratamiento (art. 24.2 RGPD).
139
LA NUEVA REGULACIÓN EUROPEA Y ESPAÑOLA DE PROTECCIÓN DE DATOS Y SU APLICACIÓN AL ÁMBITO DE LA EMPRESA
Dicha prueba se podría alcanzar igualmente, como destaca el Consi-
derando 78 RGPD, aplicando medidas que cumplan en particular los
principios de datos desde el diseño y por defecto previsto en el art. 25
RGPD, como, por ejemplo, la seudonimización que favorece los prin-
cipios de protección y minimización de los datos.
Asimismo, la adhesión a códigos de conducta o a un mecanismo de
certif‌icación podría servir como elemento de prueba del cumplimiento
de las obligaciones por parte del responsable (art. 24.3 RGPD).
Entre las medidas, previstas en el Reglamento (UE) 2016/679, que los
responsables y, en ocasiones los encargados, deben aplicar con vistas
a garantizar que los tratamientos que realizan son conformes con el
Reglamento y estar en condiciones de demostrarlo, se indican las si-
guientes:
– Elección del encargado de tratamiento (art. 28).
Realización de evaluaciones de impacto sobre la protección de
datos (art. 35).
– Autorización previa o consultas previas a la APD (art. 36).
– Protección de datos desde el diseño y por defecto (art. 25).
Mantenimiento de un registro de actividades de tratamiento (art.
30).
– Seguridad del tratamiento (art. 32).
Notif‌icación de quiebras de seguridad al autoridad de control y al
interesado (arts. 33 y 34).
– Designación de un delegado de protección de datos (arts. 37 a 39).
Promoción de códigos de conducta y esquemas de certif‌icación.
(arts. 40 a 43).
Desaparece el deber de notif‌icar e inscribir los f‌icheros ante la autori-
dad de control. Se ha considerado que, pese a implicar cargas admi-
nistrativas y f‌inancieras, dicha obligación no contribuyó en todos los
casos a mejorar la protección de los datos personales. Por ello, se ha
sustituido por procedimientos y mecanismos más ef‌icaces que se cen-
tran, en su lugar, en los tipos de operaciones de tratamiento que por su
naturaleza, alcance, contexto y f‌ines entrañen un alto riesgo para los
derechos y libertades de las personas físicas122.
122
Considerando 89 del RGPD.

Para continuar leyendo

Solicita tu prueba
Índice de navegación

Búsquedas relacionadas:

Otros documentos interesantes:

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR