La Agencia Española de Protección de Datos (en adelante, la “AEPD”), ha emitido un informe en que establece de forma breve los conceptos de responsable y encargado del tratamiento, así como las notas que diferencian ambos roles, para posteriormente analizar cuáles son las diferencias en cuanto al régimen de responsabilidad entre estos y el Delegado de Protección de Datos (DPO o DPD).
Por lo que respecta a la primera parte, la AEPD realiza un análisis breve de las figuras del responsable y del encargado del tratamiento, remitiéndose a la guía del Comité Europeo de Protección de Datos sobre estos roles.
A continuación, sí se enfoca en mayor grado en establecer la diferencia entre los anteriores y el DPO de una entidad. Recordemos que el DPO es aquella figura que se nombra en una entidad (en ocasiones fijadas por el RGPD, su nombramiento es obligatorio) para asesorar y supervisar el cumplimiento de la normativa aplicable en materia de protección de datos. Una de las principales características de un DPO es su independencia en el ejercicio de sus funciones (por lo que la agencia destaca la importancia de no incurrir en conflictos de intereses), y la falta de responsabilidad sobre posibles incumplimientos. De esta manera, tal y como establece la AEPD, el DPO asesora al responsable o al encargado del tratamiento pero, en última instancia, son estos los que deciden si seguir sus recomendaciones o no.
Para respetar la naturaleza de sus funciones de asesoramiento y supervisión, es importante que cualquier tarea que pueda tener el DPO en la organización no implique la “intervención directa en la toma de decisiones referidas a los fines y medios del tratamiento”.