Responsable, encarregat i corresponsables del tractament

Quan una entitat tracta dades personals, no sempre és fàcil saber qui decideix què es fa amb aquestes dades, qui només presta un servei tècnic i qui comparteix responsabilitats amb una altra entitat.

Entendre aquesta diferència és important perquè t’ajuda a saber qui t’ha d’informar, davant de qui pots exercir drets i a qui has de demanar explicacions si alguna cosa no està clara o no s’ha fet bé.

No n’hi ha prou amb dir «això ho porta una plataforma» o «ho gestiona una empresa externa».
Quan es tracten dades personals, cal poder identificar qui és el responsable, qui és l’encarregat i, si escau, si hi ha corresponsables.

  • El responsable decideix el «què» i el «per què». (pren les decisions principals)

    L’encarregat fa la feina per compte del responsable. (presta un servei i segueix instruccions)

    Els corresponsables decideixen conjuntament parts importants del tractament. (comparteixen decisions sobre el tractament)

Per què és important saber qui és qui?

Saber qui ocupa cada paper no és una qüestió teòrica. Té conseqüències pràctiques.

Si vols saber quines dades tenen sobre tu, si vols demanar una rectificació, si no entens per què s’han compartit unes dades o si consideres que un tractament no és correcte, necessites saber qui t’ha de respondre.

També és important perquè moltes vegades es crea confusió expressament o per comoditat:

Però, des del punt de vista de la ciutadania, el que importa és que algú ha decidit recollir, utilitzar, guardar o compartir aquelles dades, i aquesta responsabilitat s’ha de poder explicar amb claredat.

  • Responsable del tractament

    El responsable del tractament és l’entitat, organisme, empresa o persona que decideix per a què es tracten les dades i quins mitjans essencials s’utilitzen.

    És qui respon a preguntes com aquestes:

    • per què es recullen les dades?
    • quines dades són necessàries?
    • per a quina finalitat es faran servir?
    • durant quant temps es conservaran?
    • amb qui es compartiran?
    • com s’informarà les persones afectades?

     

    Dit de manera simple
    El responsable és qui diu: Vull tractar aquestes dades per aquesta finalitat.
     

    Què implica ser responsable?
    El responsable és qui ha de:

    • informar de manera clara sobre el tractament;
    • tenir una base jurídica per tractar les dades;
    • garantir que només es recullen les dades necessàries;
    • respondre l’exercici de drets;
    • vetllar perquè el tractament sigui correcte;
    • escollir adequadament els encarregats que fan serveis per al seu compte.

  • Encarregat del tractament

    L’encarregat del tractament és qui tracta dades personals per compte del responsable.

    No decideix lliurement la finalitat principal del tractament, sinó que presta un servei i tracta dades seguint les instruccions del responsable.
     

    Dit de manera simple
    L’encarregat és qui diu: Jo no decideixo per què es tracten aquestes dades; faig una feina per compte d’un altre.
     

    Què acostuma a fer un encarregat?
    Un encarregat pot encarregar-se, per exemple, de:

    • allotjar una plataforma o una web;
    • gestionar un servei de correu electrònic;
    • donar suport informàtic;
    • mantenir un programari de gestió;
    • prestar serveis de nòmines, administració o emmagatzematge;
    • oferir eines de newsletter, formularis o videoconferència.

     

    Important
    Que una entitat faci servir una empresa externa no vol dir que deixi de tenir responsabilitat.

    El responsable continua sent responsable de la decisió de tractar les dades i d’haver triat aquell proveïdor.
    L’encarregat no és “algú aliè a tot”, sinó una figura que tracta dades dins d’un marc concret i sota instruccions.

  • Corresponsables del tractament

    Hi ha casos en què dues o més entitats decideixen conjuntament aspectes essencials del tractament. Quan això passa, parlem de corresponsables del tractament.

    No es tracta simplement de col·laborar o participar en una activitat.
    Perquè hi hagi corresponsabilitat, cal que comparteixin decisions rellevants sobre:

    • la finalitat del tractament;
    • el funcionament essencial del sistema;
    • la manera com es determinen alguns mitjans clau del tractament.

     

    Dit de manera simple
    Els corresponsables venen a dir: >Això ho decidim conjuntament.
     

    Què implica?
    Quan hi ha corresponsables, cal deixar clar:

    • qui fa què;
    • qui informa les persones afectades;
    • qui atén els drets;
    • com es reparteixen les responsabilitats.

    Des de fora, la persona afectada no hauria d’haver d’endevinar-ho.

    La corresponsabilitat no pot convertir-se en una excusa perquè ningú no respongui.

Exemples quotidians

 

Escola i plataforma digital

Una escola utilitza una plataforma digital per comunicar-se amb famílies, gestionar documentació o compartir informació escolar.

 

 

Empresa i gestor extern

Una empresa contracta una assessoria o una gestoria per gestionar nòmines o documentació laboral.

 

 

Web i eina de newsletter

Una web permet subscriure’s a un butlletí informatiu.

 

 

Dues entitats que decideixen conjuntament

Dues organitzacions impulsen conjuntament una activitat i defineixen plegades quines dades recolliran i com les utilitzaran.

 

 

Errors habituals

 

«Això ho porta la plataforma»

Aquesta frase, tota sola, no resol res.

Una plataforma pot ser un encarregat del tractament, però cal veure qui ha decidit fer-la servir, per a què, quines dades s’hi introduiran i qui n’ha d’informar.

 

 

“Nosaltres només fem servir l’eina”

Fer servir una eina no elimina responsabilitats.

Si una entitat decideix recollir dades, guardar-les, compartir-les o gestionar-les mitjançant una eina, continua havent de poder explicar el tractament i respondre per les seves decisions.

 

“Pregunta-ho a l’empresa externa”

Això pot ser inadequat si serveix per esquivar responsabilitats.

La persona afectada no ha de quedar atrapada en un joc de passades de pilota.
Qui tracta dades personals ha de poder identificar correctament el seu paper i orientar de manera clara.

 

“No sabem exactament qui ho gestiona”

Si una entitat tracta dades personals, aquesta manca de claredat ja és un problema.

Potser des de dins sembla una qüestió organitzativa, però des del punt de vista de la protecció de dades vol dir que no s’està explicant bé qui pren les decisions i qui executa el tractament.

  • Com saber davant de qui t’has d’adreçar?

    Si tens dubtes, hi ha algunes preguntes que et poden orientar:

    • Qui ha decidit recollir les dades?
    • Qui en determina la finalitat?
    • Qui t’ha informat del tractament?
    • Qui et demana les dades?
    • Qui et pot explicar per què es tracten?
    • Qui ha triat la plataforma o el servei extern?
    • Qui t’hauria de respondre si exerceixes un dret?

    En molts casos, la resposta et portarà cap al responsable del tractament.

  • Resum ràpid

    Responsable del tractament
    És qui decideix què es fa amb les dades i per què.

    Encarregat del tractament
    És qui tracta dades per compte del responsable i seguint les seves instruccions.

    Corresponsables del tractament
    Són dues o més entitats que decideixen conjuntament aspectes essencials del tractament.

Entendre qui és el responsable, qui és l’encarregat i quan hi ha corresponsabilitat ajuda a posar ordre.

No és només una distinció jurídica. És una manera d’entendre qui ha de donar la cara, qui t’ha d’informar i qui t’ha de respondre quan les teves dades personals estan en joc.

Quan això no s’explica bé, apareixen la confusió, les evasives i les respostes incompletes.
I precisament per això és tan important tenir clar qui és qui.

També et pot interessar: