Data Controller vs Data Processor
El Reglamento General de Protección de datos o RGPD, también conocido como General Data Protection Regulation o GDPR, ha traído consigo la creación de dos nuevos conceptos: Data Controller y Data Processor.
Dichas figuras ya tenían su encaje en la normativa de protección de datos anterior cuando se hablaba de Responsable del Fichero y Encargado del Tratamiento. Sin embargo, el RGPD les otorga una nueva denominación.
¿Cuál es la diferencia que existe entre el Data Controller (Responsable del Tratamiento) y el Data Processor (Encargado del Tratamiento)?
Cuando hablamos de Data Controller nos referimos a aquella persona física o jurídica, pública o privada, que decide aspectos del tratamiento de los datos personales como la finalidad y el uso de los datos o los plazos de conservación; siendo también la persona ante quien debe acudir aquel interesado que tenga intención de ejercitar cualquiera de sus derechos en materia de protección de datos.
Por tanto, el Data Controller es el responsable de los datos que obran en su poder, tales como datos de carácter personal de empleados, prospects/leads, clientes o proveedores, entre otros. Asimismo, tiene como obligación informar debidamente a dichos interesados de las operaciones de tratamiento y sus fines, ya que uno de los principios del RGPD es que el tratamiento de los datos personales sea leal y transparente, lo que implica informar en el momento de la recogida de los datos, a ser posible, de tales extremos. A modo de ejemplo, si nos inscribimos en un proceso de selección directamente en la web de una empresa, dicha empresa, si decide conservar nuestro currículum para que participemos en su proceso de selección, será la responsable de nuestros datos curriculares.
Por otro lado, cuando hablamos de Data Processor nos referimos a aquel prestador de servicios que, contratado por el Data Controller, debe acceder a datos de carácter personal que son responsabilidad del Data Controller. De hecho, el simple acceso o visualización de los datos ya implica un “tratamiento” como, por ejemplo, en el caso de proveedores que prestan servicios de mantenimiento o soporte informático. A pesar de que no tengan que manipular los datos personales para la prestación del servicio tienen la consideración de Data Processor.
En este sentido, el ejemplo más clarificador de Data Processor es el de la gestoría laboral para la elaboración de las nóminas, así como para la tramitación de altas o bajas en la Seguridad Social de los empleados del Data Controller. La gestoría debe tratar los datos personales de los empleados para la prestación del servicio.
Ahora bien, ¿cómo se regula la relación que existe entre el Data Controller y el Data Processor? Esta relación debe establecerse a través de un contrato o de un acto jurídico similar que los vincule. Como mínimo, en el contrato deben establecerse los siguientes puntos:
- El objeto
- La duración
- La naturaleza y la finalidad del tratamiento
- El tipo de datos personales y categorías de interesados
- Las obligaciones y derechos de las partes
Es importante hacer hincapié en que el Data Processor en ningún caso puede utilizar los datos personales para finalidades distintas a las encomendadas en el Contrato de Encargado de Tratamiento o Data Processing Agreement.
Asimismo, el acuerdo debe establecer también el régimen de subcontratación. En el RGPD se exige la autorización previa por escrito del Data Controller para que el Data Processor pueda apoyarse en otro Data Processor (Sub-Processor) para prestar el servicio, cuando esto conlleve el tratamiento de los datos personales por parte de dicho Sub-Processor. La autorización para la subcontratación puede ser específica (identificación de la entidad concreta que va a prestar el servicio) o general (sólo autorizando la subcontratación, pero sin concretar la entidad). En el supuesto que la autorización sea de carácter general, el Data Processor informará al Data Controller de la incorporación de un Sub-Processor o su sustitución por otros Sub-Processors, dando así al Data Controller la oportunidad de oponerse a dichos cambios, debiendo establecerse un plazo para dicha oposición.
Desde GlobalSuite Solutions le ofrecemos un servicio de consultoría que tiene como objetivo ayudarle a asegurar el cumplimiento con los requerimientos legales en materia de protección de datos, así como la gestión del sistema de forma centralizada a través de nuestra solución GlobalSUITE®.