Figura del responsable del fichero y encargado del tratamiento

Conoce estas dos figuras que son tan importantes en la Agencia Española de Protección de Datos (AEPD).

Responsable del fichero

El responsable del fichero es toda aquella persona física o jurídica, de naturaleza privada o pública, titular de los ficheros de datos de carácter personal, que decide sobre el fichero su finalidad, uso y forma de tratamiento. Los datos únicamente los ha podido obtener de manera lícita porque el propio interesado se los ha proporcionado de forma inequívoca. En estos casos se requiere el consentimiento del afectado. En caso de que se hayan obtenido a través de fuentes accesibles al público, no será necesario el consentimiento. Sin embargo, no podrá hacerse un uso distinto del determinado por la fuente accesible al público. No requiere del consentimiento del afectado cuando sea para la ejecución de un contrato ni cuando se obtengan por una obligación impuesta por una normativa legal.

Encargado del tratamiento

El encargado del tratamiento es toda aquella persona física, jurídica, de naturaleza pública o privada, que trata los datos del responsable del fichero por encargo de este. No se consideran encargados del tratamiento a los trabajadores que tienen acceso a datos de los clientes de la empresa en la que trabajan, por lo que será siempre una persona externa a la empresa del responsable.

Existen varias diferencias entre ser responsable del fichero y ser encargado del tratamiento, si bien en numerosas ocasiones se tiende a confundir estos términos incluso con la cesión de datos. A continuación, se exponen las principales diferencias:

1. El responsable del fichero tiene la titularidad del fichero que contiene los datos de carácter personal que el afectado le ha proporcionado, bien por una obligación impuesta por una normativa legal o a través de las fuentes accesibles al público. El encargado del fichero no es titular del fichero del responsable que contiene los datos del afectado, pero accede a estos datos por cuenta del responsable del fichero. Esto es conocido a través del denominado “acceso de terceros a datos de carácter personal por cuenta del responsable”. En este caso, el encargado del fichero es el tercero.
2.  El responsable es quien decide sobre el tratamiento del fichero, su finalidad, su creación, modificación, contenido y uso. Sin embargo, el encargado del tratamiento no toma ninguna decisión; únicamente acata las órdenes del responsable para el desarrollo de su prestación de servicios, y solo debe acceder a los datos necesarios para su prestación.
3.  En caso de que el responsable del fichero infrinja la normativa de protección de datos de carácter personal, la Agencia Española de Protección de Datos podrá imponer la sanción que determine la Ley. Esto no implica que el encargado del fichero sea también sancionado por la actuación infractora del responsable, ya que el responsable ha podido infringir la normativa y no infringirla el encargado del tratamiento.

También puede darse tal situación a la inversa: el encargado del tratamiento puede llegar a ser también responsable de las infracciones que cometa el responsable del fichero, si termina decidiendo más allá de sus funciones e infringe la normativa, e incluso puede infringir la Ley por incumplir él y no el responsable.

«El responsable del fichero tiene que informar al encargado del tratamiento de las medidas técnicas y organizativas que debe implantar con el fin de proteger los datos de carácter personal». 

La relación mercantil entre el responsable del fichero y el encargado del tratamiento puede o no estar por escrito, pero el “acceso a los datos por parte del encargado” tiene que establecerse en un contrato por escrito donde se determinen los datos a los que accede, el motivo por el que lo hace y las obligaciones del encargado del tratamiento, así como las medidas técnicas y organizativas que tiene que implantar con el fin de cumplir con la normativa de protección de datos de carácter personal. Una vez finalizada la prestación del servicio, el encargado del tratamiento tendrá que devolver o destruir la información a la que haya accedido como consecuencia de su prestación de servicios. Esto se encuentra recogido en el art. 12 de la LOPD 15/1999, del 13 de diciembre.