El RGPD distingue entre dos funciones principales: las del responsable del tratamiento y del encargado del tratamiento de datos. Esta distinción es crucial, ya que el responsable del tratamiento tiene más responsabilidad y tiene que cumplir más obligaciones que el encargado del tratamiento.

Los responsables y encargados del tratamiento pueden ser personas físicas o jurídicas, por ejemplo: una PYME, una autoridad pública, una empresa, una organización, un organismo estatal, una asociación, etc.

Un responsable del tratamiento determina los fines y medios de una operación de tratamiento. En otras palabras, el responsable del tratamiento decide el cómo y por qué de una operación de procesamiento. Considerando que los encargados tratan datos personales en nombre del responsable del tratamiento. El tratamiento realizado por los encargados del tratamiento debe estar regulado por un contrato con el responsable del tratamiento u otro acto jurídico.

Ejemplos de responsables del tratamiento de datos:

• empresas que tratan los datos personales de sus clientes para completar una venta;
• instituciones financieras que procesan datos personales de sus clientes;
• asociaciones que traten los datos de sus miembros;
• escuelas o universidades que traten datos personales de estudiantes y profesores;
• hospitales que tratan datos personales de sus pacientes;
• agencias gubernamentales que tratan datos personales de los ciudadanos.

Ejemplos de encargados del tratamiento de datos:

• una PYME contrata un servicio de contabilidad para mantener sus libros y registros, la PYME es responsable del tratamiento de datos y el servicio de contabilidad es un encargado del tratamiento de datos;
• una empresa de nóminas trata datos personales para una pyme. La empresa de nóminas actuará como encargado si únicamente procesa los datos personales en nombre de la pyme. La PYME determina los fines y medios del tratamiento de datos y, por lo tanto, es responsable del tratamiento de los datos.
• una PYME encarga a una empresa de marketing que recopile direcciones de correo electrónico a través de sitios web de terceros.  La empresa de comercialización lo hace de acuerdo con las instrucciones explícitas de la PYME y para los fines exclusivos de la PYME. La empresa de marketing actúa como encargada de esta colección.

Más información:

• Responsable o encargado del tratamiento