Reglamento Europeo de

Protección de Datos
Obligaciones del RF y del RT

APARTADOS
Material Adjunto correspondiente a
− RESPONSABL E DEL los videos:
TRATAMIENTO
• Obligaciones del • Obligaciones del Responsable
Responsable del Tratamiento
• Protección desde el
Diseño y por Defecto
• Evaluación de Impacto • Obligaciones del Encargado del
• Consult a previa a Tratamiento
autoridad de control
− ENCARGADO DEL
TRATAMIENTO
• Obligaciones del
Encargado
• El Encargado y los
Códigos o Certificaciones

Cursos de formación online WWW. GL OB AL FACT OR Y . E S

4. OBLIGACIONES DEL RESPONSABLE DE TRATAMIENTO Y DEL
ENCARGADO

I. Responsable de tratamiento

«Responsable del tratamiento» o «Responsable» es la persona física o jurídica, autoridad

pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del
tratamiento.

Obligaciones del Responsable

El Responsable deberá:
• Aplicar medidas técnicas y organizativas apropiadas a fin de garantizar y poder
demostrar que el tratamiento es conforme la legalidad.
• Dichas medidas se revisarán y actualizarán cuando sea necesario.
• Podrá incorporar las oportunas políticas de protección de datos.
• Un medio de demostrar su cumplimiento será mediante la adhesión a códigos de
conducta.

Cada responsable llevará un registro (escrito o electrónico) de las actividades de tratamiento.

Dicho registro deberá contener la siguiente información:

a) Nombre y datos de contacto del responsable

b) Nombre y datos del delegado de protección de datos
c) Los fines del tratamiento
d) Las categorías de interesados y de los datos personales
e) Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos
personales
f) Las Transferencias internacionales de datos
g) Los plazos previstos para la supresión de los datos
h) Una descripción general de las medidas técnicas y organizativas de seguridad

Las anteriormente citadas obligaciones NO serán aplicables si la empresa o la organización

emplea menos de 250 personas, salvo que:

• El tratamiento pueda entrañar un riesgo para los derechos y libertades de los

interesados.
• no sea ocasional.
• incluya categorías especiales de datos personales o datos personales relativos a
condenas e infracciones penales.

Protección desde el diseño y por defecto

Protección desde el Diseño: El responsable del tratamiento aplicará medidas técnicas y

organizativas apropiadas para aplicarlos principios de protección de datos.
Protección por Defecto: El responsable del tratamiento aplicará las medidas técnicas y
organizativas apropiadas para garantizar, por defecto, que solo sean objeto de tratamiento los
datos personales que sean necesarios. Esta obligación se aplicará a:
1. la cantidad de datos personales recogidos
2. a la extensión de su tratamiento
 3. a su plazo de conservación y a su accesibilidad

Evaluación de Impacto

Cuando sea probable que un tratamiento entrañe un alto riesgo para los derechos y libertades
de las personas, el responsable del mismo, previamente realizará una evaluación del impacto.
En particular, dicha evaluación será obligatoria:
a) En la elaboración de perfiles sobre cuya base se tomen decisiones.
b) En el tratamiento a gran escala de las categorías especiales de datos o de datos
personales relativos a condenas e infracciones penales.
c) En la observación sistemática a gran escala de una zona de acceso público.

La evaluación deberá incluir como mínimo:

a) Una descripción sistemática de las operaciones de tratamiento previstas y de los

fines, así como del interés legítimo perseguido por el responsable.
b) Una evaluación de la necesidad y la proporcionalidad de las operaciones con
respecto a su finalidad.
c) Una evaluación de los riesgos para los derechos y libertades de los interesados.
d) Las medidas previstas para afrontar los riesgos.

Idea destacada

Cuando el tratamiento tenga su base en el cumplimiento Legal la evaluación de impacto no

será necesaria, salvo que los Estados indiquen lo contrario.

Consulta Previa

Si la evaluación de impacto entraña alto riesgo, el responsable debe consultar a la autoridad de

control antes de proceder al tratamiento si no toma medidas para mitigarlo.
El responsable del tratamiento facilitará la siguiente información en la consulta:
a) Responsabilidades del responsable y encargados
b) Fines y medios del tratamiento previsto.
c) Las medidas y garantías establecidas para proteger los derechos y libertades de los
interesados.
d) Datos de contacto del delegado de protección de datos
e) La evaluación de impacto
f) Cualquier otra información que solicite la autoridad de control.

II. Encargado de tratamiento

«Encargado del tratamiento» o «Encargado» es la persona física o jurídica, autoridad pública,

servicio u otro organismo que trate datos personales por cuenta del responsable del
tratamiento.

Obligaciones del Encargado

• El encargado ofrecerá garantías suficientes para aplicar medidas técnicas y

organizativas apropiadas.
• El encargado del tratamiento no recurrirá a otro encargado sin la autorización previa
por escrito, específica o general, del responsable.
 • El encargado informará al responsable de cualquier cambio previsto en la
incorporación o sustitución de otros encargados, dando así al responsable la
oportunidad de oponerse a dichos cambios.
Si un encargado infringe la Ley al determinar los fines y medios del tratamiento, será
considerado responsable del tratamiento.

El tratamiento por el encargado se regirá por un contrato u otro acto jurídico que le vincule al
responsable y establezca el objeto, la duración, la naturaleza y finalidad del tratamiento, el
tipo de datos personales y categorías de interesados, y las obligaciones y derechos del
responsable.

El contrato o acto jurídico estipulará que el encargado:

a) tratará los datos personales únicamente siguiendo instrucciones documentadas del

responsable
b) garantizará que las personas autorizadas para tratar datos personales se hayan
comprometido a respetar la confidencialidad.
c) tomará todas las medidas necesarias de seguridad.
d) respetará las condiciones para subcontratar.
e) asistirá al responsable ante peticiones de ejercicios de derechos.
f) ayudará al responsable a garantizar la seguridad
g) a elección del responsable, suprimirá o devolverá todos los datos personales una vez
finalice la prestación de los servicios
h) pondrá a disposición del responsable toda la información para demostrar su
cumplimiento.

Cuando un encargado subcontrate a otro encargado se impondrán a éste último, mediante

instrumento jurídico las mismas obligaciones de protección de datos que las estipuladas en el
contrato principal.
Si el subencargado incumple sus obligaciones de protección de datos, el encargado inicial
seguirá siendo plenamente responsable ante el responsable del tratamiento por lo que
respecta al cumplimiento de las obligaciones acordadas inicialmente.

Cada encargado llevará un registro 1 (escrito o electrónico) de todas las categorías de

actividades de tratamiento efectuadas por cuenta de un responsable que indique:
a) Nombre y los datos de contacto del encargado
b) Nombre y datos de contacto del delegado de protección de datos
c) Categorías de tratamientos efectuados por cuenta de cada responsable
d) Las transferencias internacionales de datos
e) Una descripción de las medidas técnicas y organizativas de seguridad.

Encargado y los Código de Conducta

La adhesión del encargado del tratamiento a un código de conducta o a un mecanismo de
certificación podrá utilizarse como prueba que garantice la existencia de las medidas y
mecanismos de cumplimiento

Idea destacada

1 No aplicable a empresas de menos de 250 personas salvo excepciones (El tratamiento pueda entrañar un
riesgo para los derechos y libertades de los interesados; no sea ocasional; incluya categorías especiales de
datos personales o datos personales relativos a condenas e infracciones penales.)
El responsable y el encargado del tratamiento cooperarán con la autoridad de control que lo
solicite en el desempeño de sus funciones.