Protección de datos sin confusiones: quién decide, quién ejecuta y quién supervisa
Por: Santiago Peña A.
En el entorno digital actual, la protección de datos personales en un pilar fundamental de la confianza y la legalidad en las operaciones empresariales e institucionales. Este sistema se sostiene sobre un conjunto de actores interrelacionados, cada uno con responsabilidades específicas y complementarias que, en conjunto, forman un marco integral de salvaguardia de la información personal.
El Responsable del Tratamiento representa el núcleo del sistema de protección de datos. Esta figura, que puede ser una persona física, una entidad jurídica; posee la autoridad para determinar los fines y medios del tratamiento de datos personales. Se articula bajo el Principio de Responsabilidad Proactiva, que implica una obligación activa de anticipación y prevención. Esto significa que el responsable no solo debe adherirse a los principios establecidos en la normativa, sino que debe demostrar continuamente dicho cumplimiento mediante la implementación de medidas técnicas y organizativas apropiadas, documentación exhaustiva y mecanismos de verificación.
En contraste con la autonomía del responsable, el Encargado del Tratamiento opera en un marco de subordinación funcional. Esta persona o entidad procesa datos personales exclusivamente por cuenta del responsable, siguiendo instrucciones específicas y detalladas. La relación se formaliza mediante un contrato que establece con precisión el alcance, duración y condiciones del tratamiento, incluyendo las medidas de seguridad que deben implementarse.
La distinción clave entre responsable y encargado radica en la capacidad de decisión sobre los fines y medios esenciales del tratamiento. Mientras el primero define el «qué» y el «por qué», el segundo se limita al «cómo» operativo, siempre dentro de los límites establecidos.
El encargado desarrolla actividades concretas en contextos específicos, gestionando conjuntos determinados de datos bajo supervisión continua. Además, tiene la obligación específica de mantener registros detallados de las categorías de actividades de tratamiento que realiza para cada responsable, incluyendo descripciones de las medidas de seguridad implementadas y registros de transferencias internacionales de datos.
En un mundo globalizado, donde las operaciones digitales traspasan fronteras con facilidad, la figura del Representante adquiere especial relevancia. Cuando un responsable o encargado no está establecido en la Unión Europea pero procesa datos de personas que residen en su territorio, la designación de un representante dentro de la UE es obligatoria.
Dentro de la estructura organizacional, el Delegado de Protección de Datos (DPO) desempeña un papel estratégico como asesor experto e independiente. Más que un mero cumplimiento formal, el DPO encarna la institucionalización de la cultura de protección de datos dentro de la organización.
Sus funciones abarcan múltiples dimensiones: proporciona orientación especializada sobre cumplimiento normativo y evaluación de riesgos; supervisa la implementación de medidas de protección; actúa como punto de contacto con las autoridades de control; y desarrolla programas de capacitación y sensibilización para el personal. Para ser efectivo, el DPO debe poseer conocimientos especializados en derecho y prácticas de protección de datos, manteniendo independencia funcional y acceso directo a los más altos niveles directivos.
