GDPR 6. La responsabilidad del tratamiento


Josep Aragonés Salvat     30/08/2016

Responsables del tratamiento


Todo el Reglamento está dedicado al Responsable del tratamiento, ya que su objetivo es establecer las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos, tareas encomendadas a quien realiza el tratamiento, el Responsable.

Aunque en el Capítulo IV “Responsable del tratamiento y encargado del tratamiento” y en particular en el Artículo 24 “Responsabilidad del responsable del tratamiento” se especifican las disposiciones sobre su responsabilidad, en todo el Reglamento existen referencias al mismo, por lo que vamos a resumir la normativa que le afecta en los siguientes apartados:

  • Responsabilidad del tratamiento
  • Principios del tratamiento
  • Política de información
  • Derechos del interesado
  • Política de seguridad
  • Violaciones de seguridad
  • Transferencias internacionales de datos
  • Garantías de cumplimiento
  • Delegado de protección de datos (DPO)
  • Autoridades de control


En este post solo vamos a desarrollar la “Responsabilidad del tratamiento” relativa al Capítulo IV, Sección 1, relativa a las obligaciones generales del Responsable, ya que los otros apartados ya se han tratado o se tratarán en otros post que incluiremos en links al final de este artículo.

Responsabilidad del tratamiento (artículo 24)


El Reglamento define al Responsable del tratamiento como la persona física o jurídica, Autoridad pública, servicio u organismo que, solo o conjuntamente con otros, determine los fines y los medios del tratamiento.

Recordamos que un tratamiento es cualquier operación realizada sobre datos personales: recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

El Responsable del tratamiento deberá, antes y durante el tratamiento:

  • Implementar medidas técnicas y organizativas apropiadas para garantizar y demostrar el cumplimiento del Reglamento, teniendo en cuenta:
    • La naturaleza, ámbito, contexto, y fines del tratamiento.
    • Los riesgos para los derechos y libertades de los interesados.
    • El tipo de organización.
  • Aplicar medidas de protección de datos proporcionadas en relación con las actividades del tratamiento.


El Responsable del tratamiento podrá utilizar la adhesión a códigos de conducta o los mecanismos de certificación establecidos en el Reglamento (artículos 40 y 42) para demostrar su cumplimiento.

Protección de datos desde el diseño y por defecto (artículo 25)


El Responsable del tratamiento deberá garantizar desde el diseño y por defecto, antes y durante el tratamiento la aplicación efectiva de los principios de protección de datos a todos datos personales tratados, así como al plazo de conservación y a su accesibilidad:

  • Que el tratamiento se realice para fines específicos, o sea, recogidos con fines determinados, explícitos y legítimos y no tratados posteriormente de manera incompatible con dichos fines.
  • La minimización de datos, siendo adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados
  • La exactitud, confidencialidad, integridad, seguridad física y supresión de los datos.
  • La protección de los derechos del interesado.
  • Que los datos no sean accesibles, sin la intervención humana, a un número indeterminado de personas.
  • La aplicación de los resultados de la evaluación de impacto.

El Responsable del tratamiento podrá utilizar los mecanismos de certificación establecidos en el Reglamento (artículo 42) para demostrar la protección de los datos desde el diseño y por defecto.

Encargados del tratamiento (artículo 28)


Persona física o jurídica, Autoridad pública, servicio u organismo que, solo o conjuntamente con otros, realice un tratamiento de datos personales por cuenta del Responsable del tratamiento.

El Encargado del tratamiento deberá ofrecer garantías suficientes para:

  • Implementar políticas técnicas y organizativas apropiadas para cumplir el Reglamento.
  • Proteger los derechos del interesado.
  • Aplicar las medidas de seguridad que establece el Reglamento.


Ver información ampliada sobre el Encargado del tratamiento en: El Encargado del tratamiento

Personal autorizado para el tratamiento (artículo 28 y 29)


El Responsable o Encargado del tratamiento garantizarán que el Personal autorizado para tratar datos personales se haya comprometido a respetar la confidencialidad, mediante:

  • Acuerdos de confidencialidad.
  • Una obligación legal de confidencialidad.


El Personal autorizado realizará el tratamiento únicamente:

  • Siguiendo las instrucciones del Responsable o Encargado del tratamiento.
  • Por una obligación legal (fundamentada en la legislación vigente).


Corresponsables del tratamiento (artículo 26)


Serán Corresponsables del tratamiento cuando varios Responsables determinen los fines y los medios del tratamiento.

Los Corresponsables formalizarán un acuerdo que estará a disposición de los interesados, donde se reflejarán:

  • Las funciones de cada Corresponsable con respecto al tratamiento y a sus relaciones con los interesados.
  • Las responsabilidades de cada Corresponsable con respecto al Reglamento.
  • Los procedimientos y mecanismos para el ejercicio de los derechos del interesado.


Ver información ampliada sobre el Corresponsable del tratamiento en: El Corresponsable del tratamiento

Representantes de los Responsables del tratamiento no establecidos en la UE (artículo 27)


Los Responsables del tratamiento de terceros países que tratan datos en la UE, designarán por escrito un Representante en la UE, cuando:

  • El tratamiento de datos sea habitual (no ocasional).
  • Exista la probabilidad que el tratamiento pueda suponer un riesgo para los derechos y libertades de las personas.
  • Se traten datos de categorías especiales de datos
  • Se traten datos relativos a condenas y delitos penales.


No será obligatorio designar un Representante cuando el Responsable del tratamiento sea una Autoridad u Organismo público.

El Representante deberá establecerse en algún Estado de la UE donde residan los interesados objeto de tratamiento.

El Representante deberá atender las consultas de los interesados y de la Autoridad de control.

Registro de actividades del tratamiento (artículo 30)


Los Responsables del tratamiento tendrán la obligación de llevar un Registro de actividades cuando en el tratamiento de datos concurra en alguna de las siguientes condiciones:

  • Empleen a un mínimo de 250 personas.
  • Pueda suponer un riesgo para los derechos y libertades del interesado y no tenga un carácter ocasional.
  • Se traten categorías especiales de datos
  • Se traten datos relativos a condenas y delitos penales


Los Responsables del tratamiento, o sus Representantes, deberán llevar y conservar actualizado un registro de las actividades de tratamiento efectuadas bajo su responsabilidad, en formato electrónico, que contenga:

  • Nombre y datos contacto de todos los implicados en el tratamiento: Responsable del tratamiento, y si es el caso, Representante, DPO, Encargados del tratamiento, Corresponsables, Coencargados y Destinatarios.
  • Fines del tratamiento.
  • Descripción de las categorías de interesados.
  • Descripción de las categorías de datos.
  • Categorías de Destinatarios.
  • Transferencias de datos a terceros países, con la identificación de los mismos y documentación de garantías apropiadas.
  • Cuando sea posible:
    • Plazos previstos para la supresión de las diferentes categorías de datos.
    • Descripción general de las medidas técnicas y organizativas de seguridad.


Los Responsables del tratamiento, o sus Representantes, deberán poner a disposición de la Autoridad de control el Registro de actividades del tratamiento cuando ésta lo solicite y también deberán cooperar en el desempeño de sus funciones.


Organigrama de la responsabilidad del tratamiento

Seguimiento del curso Experto en el GDPR


Tema anterior: 5. Los derechos del interesado Tema siguiente: 7. Empresas externas con acceso a datos



Información relacionada