¿QUIÉN ES QUIÉN EN LA PROTECCIÓN DE DATOS PERSONALES? GLOSARIO I: LOS SUJETOS

Glosario de sujetos relacionados con la protección de datos.

El mundo de la protección de datos ha experimentado una revolución en los últimos tiempos.

Los cambios legislativos implantados en el Unión Europea, con mención especial del Reglamento General del Protección de datos (Reglamento (UE) 2106/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos –en adelante, RGPD-), cuya aplicación resulta de obligado cumplimiento para los Estados miembros a partir de 25 de mayo de 2018, ha supuesto el cambio de paradigma en el concepto de protección de datos que teníamos hasta la fecha.

Este factor, unido a las sucesivas noticias relativas a filtraciones masivas de datos personales por parte de los gigantes norteamericanos de las telecomunicaciones, ha puesto de relieve la importancia de la protección de los datos personales en el contexto de las transferencias globales de datos.

En este sentido, hemos considerado interesante elaborar un glosario de sujetos que, en mayor o menor medida, guardan relación con la protección de datos.

COMITÉ EUROPEO DE PROTECCIÓN DE DATOS (CEPD). Es el organismo de la Unión Europea responsable de la aplicación del RGPD a partir del 25 de mayo de 2018, y de la Directiva europea sobre protección de datos en el ámbito policial. Está compuesto por el director de cada autoridad de protección de datos y el Supervisor Europeo de Protección de Datos o sus representantes. La Comisión Europea participa en las reuniones del CEPD sin derecho a voto. Su actuación tiene como finalidad garantizar que el RGPD se aplica de forma coherente en toda la Unión, trabajando para garantizar la cooperación efectiva entre las autoridades de protección de datos.

GRUPO DEL ARTÍCULO 29. El 25 de mayo de 2018, fecha de la entrada en vigor del Reglamento Europeo de Protección de Datos, el Grupo de Trabajo del Artículo 29 dejó de existir, siendo reemplazado por el CEPD. No obstante, sus recomendaciones y documentos siguen siendo útiles en la actualidad, pudiéndose ser consultados en la página web del Consejo Europeo de Protección de Datos.

Este Grupo se creó en virtud del artículo 29 de la Directiva 95/46/CE, del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, e integraba a representantes de las autoridades de protección de datos personales de los Estados miembros. Se configuraba como el organismo de carácter consultivo e independiente para la protección de datos y el derecho a la intimidad en la Unión Europea.

AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS (AEPD). Con sede en Madrid, se trata de la máxima autoridad pública independiente de control, encargada de velar por el cumplimiento de la normativa sobre protección de datos y de su correcta aplicación. Entre sus múltiples competencias destaca la potestad sancionadora, la emisión de dictámenes y recomendaciones, la autorización para las transferencias internacionales de datos personales, en su caso, el ofrecimiento de facilidades para el ejercicio de los derechos relativos a la protección de datos personales por titulares e interesados y la información de los proyectos normativos en la materia, entre otras.

RESPONSABLE DEL TRATAMIENTO. Es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determina los fines y medios relacionados con el tratamiento.

ENCARGADO DEL TRATAMIENTO. Es la persona física o jurídica, autoridad pública, servicio u otro organismo que trata los datos personales exclusivamente por cuenta del responsable del tratamiento. En este punto cabe diferenciar entre el encargado del tratamiento, que presta un servicio para el responsable de tratamiento y debe atender a las finalidades determinadas por éste, y el cesionario de los datos, que tiene autonomía en el tratamiento de los datos personales siempre y cuando la cesión sea legítima.

DELEGADO DE PROTECCIÓN DE DATOS (DPD, DPO o “DATA PROTECTION OFFICER”). Figura creada por el RGPD. Se trata de un profesional independiente (empleado o externo de la empresa, persona física o jurídica), de perfil jurídico-técnico y con formación específica en materia de protección de datos. Se encarga de informar y asesorar a los responsables y encargados de tratamiento, supervisar el cumplimiento de la normativa en la materia, asesorar en la adopción de medidas de impacto en la materia y cooperar con la autoridad de control. El desarrollo autónomo de sus competencias está protegido expresamente en el artículo 38.3 del RGPD.

TERCERO. Se constituye como el sujeto residual en materia de protección de datos personales, ya que es la persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas por el responsable o del encargado.

AFECTADO E INTERESADO. Es la persona física titular de los datos personales que son objeto del tratamiento. Con la entrada en vigor del RGPD se ha puesto el acento de un modo muy especial en los derechos de los interesados ampliando los tradicionales derechos ARCO de la LOPD (acceso, rectificación, cancelación y oposición) a otros como los de supresión (o “derecho al olvido”), limitación del tratamiento (también denominado en ocasiones bloqueo) y portabilidad de los datos.