[MÚSICA] [MÚSICA] El video que vamos a ver a continuación tratará sobre la diferencia entre el responsable del tratamiento de datos y el encargado del tratamiento. [INCOMPRENSIBLE] son dos conceptos muy parecidos y por ese motivo pueden crear equívocos, pueden crear confusiones, y por ese motivo vamos a tratar de explicarlo en el video que van a ver a continuación. Bien. Pues, en primer lugar vamos a ver la definición del propio reglamento. ¿Qué dice el reglamento? El reglamento dice que el responsable del tratamiento, como pueden ver en slide, es aquella persona física o jurídica, autoridad pública, servicio u otro organismo, que solo o junto con otros, también examinaremos ese aspecto de la corresponsabilidad, determine los fines y los medios del tratamiento. Es decir, que el responsable del tratamiento es una figura central, una figura sustancial en todo el reglamento porque en [INCOMPRENSIBLE] van a decidir algo tan importante como el por qué, cuál es la finalidad, cuál es el objetivo, cuál es la causa por la cual se está haciendo el tratamiento, y este sería un aspecto pero otro aspecto esencial, otro aspecto fundamental sería cómo, es decir, qué medidas se tienen que tomar para cumplir con la normativa de protección de datos. Y como saben, son medidas y no solamente a nivel técnico, sino también técnico, administrativo, y jurídico. Por tanto, una figura neurálgica de la protección de datos personales. Y además, el propio reglamento, este artículo, el 4.7 que acabamos de mencionar, tiene otro concepto también de responsable de tratamiento de datos, sería aquel en el cual se realiza un tratamiento porque una norma de Derecho de la Unión Europea o una ley de los Estados miembros, determina ese tratamiento, determina las finalidades, determina los métodos. En ese sentido, habría que establecer criterios en esas propias normas para ver quién va a ser el responsable del tratamiento de datos. Como ven, es un poco a la inversa, ¿no? A partir del tratamiento se define quién es el responsable. En definitiva, en la siguiente slide pueden observar cómo la figura del responsable lleva parejada y [INAUDIBLE] valga la redundancia, la responsabilidad, el ser responsable de medidas adecuadas, ¿adecuadas a qué? A los contextos del tratamiento, tienen que evaluarse los contextos, las amenazas, tienen que evaluarse los riesgos, ese enfoque a riesgos que estamos viendo en todas estas semanas, en estas importante esta responsabilidad proactiva que exige el reglamento, que es una de las principales mejoras que introdujo la norma. También todas esas medidas, toda esta responsabilidad proactiva nos lleva a [INAUDIBLE] la auditoría, por lo tanto, el responsable del tratamiento de datos se va a auditar, se va a auditar cómo hace el tratamiento, cómo los otros diversos procesos, y por tanto, pues tendrá que verse si hay conformidad o no conformidad. Igualmente, es el responsable de establecer políticas de privacidad, lo dice el propio reglamento en el artículo 24.1, esas políticas de privacidad que son tan importantes para que toda la organización este concienciada, para que se produzca ese cumplimiento en todos los ámbitos. Y además, otro aspecto responsable del tratamiento de datos, pues puede adherirse a códigos de conducta, lo cual es una muy buena recomendación y es una señal de que se va en las buenas líneas del cumplimiento o también las certificaciones, tienen diversos tipos, algunas de protección de datos y otras de seguridad de información que pueden ser muy útiles. Además, como decía, en la siguiente slide, como ven corresponsales del tratamiento, es posible que el tratamiento tenga más responsables, ¿cómo es eso? Bueno, pues porque puede haber el que estas personas físicas o jurídicas determinen también las finalidades, determinen también los medios. No nos vamos a extender mucho más, pero el artículo 26 pues embaraja esta opción, esta posibilidad que se produce en la realidad. Y ahora vamos a hacer un cambio de [INCOMPRENSIBLE]. ya hemos visto hasta ahora el responsable del tratamiento, espero que haya quedado claro, y ahora vamos a ver esta otra figura, el encargado de tratamiento. Hay que decir que no siempre existe esta figura de encargado del tratamiento, no debe confundirse el encargado del tratamiento con un empleado, con un trabajador, con alguien dependiente de [INAUDIBLE], con un director de sistemas, no. El encargado de tratamiento tienen que asociarlo siempre con un tercero, tienen que asociarlo siempre con una externalización con un subarrendamiento, es decir, es una tercera persona a la cual yo le encargo ese tratamiento. Vamos a poner unos ejemplos para poder ilustrarlo. Yo tengo una empresa y mis trabajadores pues tienen nómina, seguridad social, la gestoría que me lleva las nóminas, la gestoría que le lleva a seguridad social a los trabajadores o la prevención de riesgos que no es mi propia organización, eso se lleva con el encargado de tratamiento. Pero puede haber otros encargados de tratamiento que no sean tan evidentes como el que he dicho, por ejemplo, en un entorno de trabajo [EXTRANJERO] yo tengo almacenadas mis datos en la nube, y hay tratamientos de datos allí porque son datos personales, por tanto, también se llevan [INAUDIBLE] de tratamiento. Es decir, como dice la definición legal, la persona física o jurídica, autoridad pública, servicio u organismo, que trate datos personales por cuenta del responsable. Y lo importante aquí. Pues, evidentemente, como han podido intuir, que se garantice el cumplimiento, que por ejemplo, no se produzca ninguna subcontratación que no esté autorizada. Es decir, que la gran preocupación es por supuesto el cumplimento, la protección de datos personales, pero en este caso, escapa del ámbito indirecto de vigilancia del responsable del tratamiento, por lo tanto, tendrá que establecerse medidas para reforzar ese cumplimiento. ¿Cómo hay un [INCOMPRENSIBLE]? Imprescindible, obligatorio por el artículo 28 del reglamento que es el contrato, el contrato de encargado de tratamiento, o algún similar porque puede producirse esta externalización también entre administraciones públicas. Este contrato no tenemos tiempo de verlo y analizarlo, pero como verán, tiene que seguir, o tiene que estar, hacer instrucciones muy claras, garantizar la confidencialidad, la asistencia al ejercicio de derechos y para ayudar a todas estas cosas, pues hay unos supuestos, como verán la siguiente slide titulada como registro de actividades, en la cual se obliga a documentar, tan importante es el mundo de la documentación, pues aquí se obliga a documentar el tratamiento, ¿en qué caso? Organizaciones que tengan un número igual o superior a 250 personas o tratamientos que o sea, ocasionales, que pongan en riesgo los derechos y libertades a sus interesados. Entonces ahí se [INCOMPRENSIBLE] ese registro de actividades, que en otra parte del curso lo veremos. Y ya para ir acabando, otro aspecto, otra figura que quiero tocarla aquí también para que evitar también confusiones, sería de los representantes de los responsables de tratamiento o encargados de tratamiento que no estén establecidos en la Unión Europea, un Google, un Apple, Amazon, están en Estados Unidos pero dan servicios a la Unión Europea. El reglamento les va a exigir un representante, un representante cuando se traten esos datos, cuando se hagan esos servicios. Y ya no me voy a extender porque también va a haber otro punto, pero como ven puede ser una figura que en algún momento podría dar equívocos. En este sentido, solamente existen para cuando los representantes, o nuestros representantes existen para lo que sería encargados o responsables de tratamiento fuera de la Unión Europea. Bien, espero que les haya aclarado varias [INCOMPRENSIBLE] Muchas gracias. Y aquí acabaría este video. [MÚSICA] [MÚSICA]
