El responsable del tratamiento de datos
Javier Puyol, abogado y socio de Ecix Group
Jorge Paez señala que los tratamientos de datos nominativos generan una serie de responsabilidades de índole administrativo, civil y, en su caso, penal, que obligan por un lado a hacer frente a las sanciones administrativas o penales impuestas ante la comisión, por acción o incumplimiento, de determinados actos considerados ilícitos, y por otro a resarcir de los daños causados generados por dichos tratamientos. Estas responsabilidades recaerán, en forma individual o colectiva, según los casos, sobre el titular del fichero, el responsable del mismo, el encargado del tratamiento, el responsable de seguridad, o sobre aquellas otras personas relacionadas directa o indirectamente con el fichero a quienes, por sus facultades o actos, pudieran serles atribuidas. Como cuestión previa al estudio y concreción de dichas responsabilidades deberemos adentrarnos en la delimitación del concepto a que hace referencia el término responsabilidad.
En el lenguaje común, la responsabilidad se presenta bajo dos aspectos con valoración contrapuesta, uno positivo, que pone de manifiesto una faceta, inherente a la personalidad del sujeto a que hace referencia, que se presenta como una disposición de ánimo y comportamiento ético dignos de encomio, tal y como queda reflejado, entre otras, por las siguientes expresiones: «es una persona seria y responsable»; «mostró en todo momento un comportamiento responsable y profesional»; «es el responsable del éxito del proyecto», y otro negativo que, por su naturaleza de crítica o enjuiciamiento adverso a lo deseado, tiene una mayor raigambre, tal y como queda puesto de manifiesto en el propio Diccionario de la Real Academia de la lengua española, que define responsabilidad como «deuda, obligación de reparar y satisfacer, por sí o por otro, a consecuencia de un delito, de una culpa, o de otra causa legal. 2º cargo u obligación moral que resulta para uno del posible yerro en cosa o asunto determinado», y que asimismo queda reflejado en expresiones habituales del tenor de las siguientes: «¿quién es el responsable del desaguisado?»; «no se puede contar con él para nada, es un irresponsable»; «era responsabilidad suya, así que debe asumir las consecuencias».
Por su parte, en el lenguaje jurídico normativo, que es el que nos interesa a efectos de delimitar el alcance del concepto a que suele hacer referencia el término «responsabilidad», el alcance del término, en su origen, se circunscribía a establecer la reacción jurídica, ante aquellos actos catalogados como infracciones del Derecho, que permite actuar coactivamente sobre el sujeto al que se le imputa. Así pues, ab initio, la responsabilidad jurídica implicaba una obligación derivada de un comportamiento, activo o pasivo, legalmente exigible, cuyo incumplimiento daba lugar a la imposición de una sanción, establecida como elemento de reprobación, prevención o retribución del ilícito, ampliándose posteriormente a la exigencia de reparación o resarcimiento de aquellos daños sufridos por terceros que tuvieran por causa alguna de las establecidas en el ordenamiento como origen de responsabilidad, admitiéndose la posibilidad de acumulación de ambos criterios cuando la producción del daño fuese originado por un acto punible.
a). Por un lado puede reflejar un juicio de valor negativo (un reproche), que se vincula a un comportamiento jurídicamente rechazable prescrito como ilícito en el ordenamiento jurídico, que da lugar a la posible imposición de las sanciones administrativas o penales, según la gravedad del mismo, que se establecen como correspondencia al incumplimiento culpable de la obligación de hacer o no hacer con la finalidad de reforzar un deber de conducta o de actuar con una determinada diligencia.
b). Por otro puede hacer referencia a la obligación, del imputado, de reparar un determinado daño, causado en el patrimonio de un tercero (neminen laedere), rompiendo el criterio general según el cual tanto los lucros como los daños que afectan a un determinado patrimonio deben quedar en beneficio o perjuicio de su titular. Junto a esta doble faceta de obligación de hacer (o abstenerse de hacer) y de reparar, la responsabilidad jurídica se pone de manifiesto en el ordenamiento jurídico, a tenor de la siguiente tipología
Derivadas de dichas reflexiones, surge el concepto de «responsable del tratamiento desempeña un papel fundamental en la aplicación de la Directiva 95/46/CE, puesto que determina quién debe ser responsable del cumplimiento de las normas de protección de datos y la manera en que los interesados pueden ejercer sus derechos en la práctica. El concepto de responsable del tratamiento de datos también es esencial a la hora de determinar la legislación nacional aplicable y para el ejercicio eficaz de las tareas de supervisión conferidas a las autoridades de protección de datos. Con el término “responsable del fichero”, la Ley Orgánica 15/1.999, de 13 de diciembre de Protección de Datos de Carácter Personal, se refiere a la persona, empresa o entidad responsable de que dichos datos sean tratados aplicando las garantías que la propia Ley establece para garantizar y proteger la intimidad y demás derechos fundamentales de la persona.
En un principio hubo cierta confusión en algunos que consideraban que al emplear el legislador en unos casos responsable del fichero y en otros del responsable del tratamiento, se trataba de dos personajes distintos con funciones igualmente distintas. En algunos casos costó mucho trabajo convencer a quien pensaba de esta manera que esto no era así, sino que se trataba del mismo personaje al que el legislador se le había ocurrido nombrar de dos formas diferentes. Por ello, en muchas legislaciones más modernas que la española, se está tendiendo a refundir las figuras del responsable del tratamiento, con la del responsable del fichero, que puede ser asimilado a efectos prácticos como el propietario del fichero o base de datos.
Por ello, tal como señala el Grupo de Trabajo del Artículo 29 de la Directiva 95/46, es de suma importancia que el significado preciso de este concepto y los criterios para su uso correcto sean suficientemente claros y sean compartidos por todas aquellas personas en los Estados miembros que desempeñan un papel en la aplicación de la Directiva y en la aplicación, evaluación y ejecución de las disposiciones nacionales por las que surte efecto.
El responsable del tratamiento puede ser definido como la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que solo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales; en caso de que los fines y los medios del tratamiento estén determinados por disposiciones legislativas o reglamentarias nacionales o comunitarias, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el Derecho nacional o comunitario, por ello, dicho responsable debe garantizar, en todo caso, la protección de los datos del titular de los mismos en cada tratamiento que realice. En este mismo sentido, se manifiesta el artículo 3.d. de la Ley Orgánica y el 5.1.q de su reglamento, cuando señalan que el responsable del dichero es aquella “persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente”.
Los elementos más característicos de esta figura son los que hacen referencia a su capacidad de decidir sobre finalidad, contenido y uso del tratamiento, y que consecuentemente con ello, se establece la responsabilidad general del responsable por cualquier tratamiento de datos personales realizado por él mismo o en su nombre. En particular, el responsable del tratamiento debe garantizar y está obligado a demostrar que cada operación de tratamiento cumple lo dispuesto en la presente Ley.
El concepto de responsable del tratamiento también es un elemento esencial para determinar qué legislación nacional es aplicable a una operación o conjunto de operaciones de tratamiento de datos. La principal norma sobre el Derecho aplicable con arreglo al artículo 4, apartado 1, letra a), de la Directiva es que los Estados miembros aplican sus disposiciones nacionales «a todo tratamiento de datos personales cuando […] sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro». Esta disposición continúa así: «cuando el mismo responsable del tratamiento esté establecido en el territorio de varios Estados miembros deberá adoptar las medidas necesarias para garantizar que cada uno de dichos establecimientos cumple las obligaciones previstas por el Derecho nacional aplicable». Esto significa que el o los establecimientos del responsable del tratamiento también determinan la o las legislaciones nacionales aplicables, y posiblemente un cierto número de legislaciones nacionales diferentes aplicables, y la manera en que se relacionan entre sí.
El responsable del tratamiento asume por su papel directivo en la toma de decisiones sobre el tratamiento a realizar un conjunto de deberes, sin perjuicio de las demás disposiciones que le puedan ser conferidas en la normativa vigente en cada momento sobre privacidad
En este sentido, la Agencia Española ha señalado que sobre el responsable del fichero recaen las principales obligaciones establecidas por la LOPD y le corresponde velar por el cumplimiento de la Ley en su organización. Por tanto, el responsable debe:
a). Notificar los ficheros ante el Registro General de Protección de Datos para que se proceda a su inscripción.
b). Asegurarse de que los datos sean adecuados y veraces, obtenidos lícita y legítimamente y tratados de modo proporcional a la finalidad para la que fueron recabados.
c). Garantizar el cumplimiento de los deberes de secreto y seguridad.
d). Informar a los titulares de los datos personales en la recogida de éstos.
e). Obtener el consentimiento para el tratamiento de los datos personales.
f). Facilitar y garantizar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación.
g). Asegurar que en sus relaciones con terceros que le presten servicios, que comporten el acceso a datos personales, se cumpla lo dispuesto en la LOPD.
h). Cumplir, cuando proceda, con lo dispuesto en la legislación sectorial que le sea de aplicación.
En el Anteproyecto de la Ley de Honduras de Protección de datos, refundiendo un conjunto de legislaciones europeas e iberoamericanas, se indica que dichos deberes pueden sintetizarse de la siguiente manera:
a). Garantizar al titular de los datos, el pleno y efectivo ejercicio del derecho fundamental a la protección de sus datos personales;
b). Informar debidamente al titular de los datos acerca de la finalidad de la recolección y los derechos que le asisten, sobre la base del consentimiento otorgado;
c).Cumplir con las obligaciones contenidas en el aviso de privacidad.
d).Tramitar y dar respuesta a las solicitudes de acceso, rectificación, cancelación y oposición en los términos previstos en la presente Ley;
e). Adoptar las medidas de seguridad técnicas y organizativas necesarias para conservar la información e impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
f). Dar instrucciones claras y precisas al encargado del tratamiento para que éste pueda llevar a cabo el tratamiento adecuado;
g). Adoptar las medidas necesarias para que la información suministrada se mantenga actualizada;
h). Exigir al encargado del tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del titular;
i). Implementar un manual de políticas y procedimientos, o documento de seguridad, etc, para garantizar el adecuado cumplimiento de las normas sobre privacidad;
j). Abstenerse de comunicar o ceder información que se encuentre bloqueada por el regulador correspondiente;
k). Informar al regulador, cuando se presenten eventos que deriven en violaciones a las políticas y procedimientos de seguridad y existan riesgos en la administración de la información de los titulares de los datos,
l). Cumplir las instrucciones y requerimientos que imparta el regulador, y
m). Cumplimentar los derechos de acceso, rectificación, cancelación y oposición (ARCO) ejercitados ante el encargado del tratamiento, cuando contractualmente el responsable haya asumido dicha obligación.
Como requisitos que ha de reunir un responsable de tratamiento, los mismos desde el punto de vista de las organizaciones son adecuadamente expuestos por el IFAI en un documento de trabajo, donde se concretan las exigencias que se deben reunir de la siguiente manera:
a). Experiencia en materia de protección de datos personales. Lo cierto es que con motivo de los servicios prestados a los clientes, del tratamiento de datos personales de las personas que laboran en la organización, de trámites o de actividades propias del negocio del responsable, es posible que existan departamentos o personas con trayectoria en materia de privacidad. Si no es el caso, se recomienda que las funciones de la persona o departamento de protección datos personales sean afines al tema, tal es el caso de áreas de compliance o auditoría.
b). Jerarquía o posición indicada dentro de la organización. Se recomienda que la persona o departamento de datos personales cuente con la jerarquía o posición dentro de la organización del responsable que le permita implementar políticas transversales y en todos los niveles, en materia de protección de datos personales. Hay que considerar que una de sus funciones, establecidas en ley, es fomentar la protección de datos personales al interior de la organización, lo que sin duda implica aplicar políticas y programas a lo largo de la empresa. La Ley no exige un nivel específico para la persona que desarrolle o tenga a su cargo la función de datos personales, por lo que el responsable tiene libertad para decidirlo, sin embargo, es indispensable que cuente con las facultades y capacidades suficientes para cumplir con sus funciones.
c). Recursos suficientes. Es fundamental que la persona o departamento de datos personales cuente con los recursos materiales, técnicos y humanos necesarios para el ejercicio de sus funciones y acciones, a efecto de dar cumplimiento a las disposiciones previstas en la Ley.
d). Contar con conocimiento en la materia. Es deseable que la persona que tenga a su cargo la función de datos personales conozca sobre regulación y temas de protección de datos personales y seguridad de la información.
e). Visión y liderazgo para implementar la política de privacidad a lo largo de la organización.
f). Habilidades de organización y comunicación.
Y todo ello, en aras de la consecución de los siguientes objetivos:
a). Fortalecer el lazo de confianza entre la organización y sus clientes, proveedores, trabajadores, entre otros, al garantizar que la expectativa razonable de privacidad que tienen estas personas sobre su información está siendo respetada por la organización, a través de la implementación de prácticas o políticas para tal fin.
b).Dar plusvalía a la calidad del servicio ofrecido, al considerar la privacidad de los clientes o personas como parte de los ejes rectores de sus políticas de servicio y satisfacción.
c).Mantener la reputación y posicionamiento de la organización en un mercado globalizado.
d). Garantizar el cumplimiento de los principios de la protección de datos y el ejercicio de los derechos ARCO de manera que se proporcione una protección efectiva al titular de los datos personales.
