Sección 1.ª Obligaciones generales
Artículo 27. Obligaciones del responsable del tratamiento
1. El responsable del tratamiento, tomando en consideración la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los niveles de riesgo para los derechos y libertades de las personas físicas, aplicará las medidas técnicas y organizativas apropiadas para garantizar que el tratamiento se lleve a cabo de acuerdo con esta Ley Orgánica y con lo previsto en la legislación sectorial y en sus normas de desarrollo. Tales medidas se revisarán y actualizarán cuando resulte necesario. 2. Entre las medidas mencionadas en el apartado anterior se incluirá la aplicación de las oportunas políticas de protección de datos, cuando sean proporcionadas en relación con las actividades de tratamiento.
Artículo 28. Protección de datos desde el diseño y por defecto
1. En el momento de determinar los medios para el tratamiento, así como en el momento del tratamiento propiamente dicho, deberán aplicarse las medidas técnicas y organizativas que resulten apropiadas conforme al estado de la técnica y el coste de la aplicación, la naturaleza, el ámbito, el contexto, los fines del tratamiento y los riesgos para los derechos y libertades de las personas físicas. El objetivo será salvaguardar los principios de protección de datos de forma efectiva, al tiempo que integrar las garantías necesarias en el tratamiento. Entre estas medidas técnicas, se podrá adoptar la seudonimización de los datos personales a los efectos de contribuir a la aplicación de los principios establecidos en esta Ley Orgánica, en particular, el de minimización de datos personales. 2. Además, las medidas técnicas y organizativas deberán garantizar que, por defecto, sólo sean objeto de tratamiento los datos personales que resulten necesarios para cada uno de los fines específicos del tratamiento. Dicha obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su período de conservación y a su accesibilidad. Tales medidas garantizarán que, por defecto, los datos personales no sean accesibles a un número indeterminado de personas sin intervención humana.
Artículo 29. Supuestos de corresponsabilidad en el tratamiento
1. Cuando dos o más responsables del tratamiento determinen conjuntamente los objetivos y los medios de tratamiento serán considerados corresponsables del tratamiento. 2. Salvo que las responsabilidades hayan sido previstas por el Derecho de la Unión Europea o por la legislación española, los corresponsables del tratamiento establecerán, de modo transparente y de mutuo acuerdo, a través del instrumento oportuno, sus respectivas responsabilidades en el cumplimiento de esta Ley Orgánica, en particular, en lo referido al ejercicio de los derechos del interesado y a sus respectivas obligaciones en el suministro de la información contemplada en el artículo 21. El citado acuerdo designará el punto de contacto para los interesados, a menos que venga ya determinado legalmente. La concreción de las responsabilidades se realizará atendiendo a las actividades que efectivamente desarrolle cada uno de los corresponsables del tratamiento.
Artículo 30. Encargado del tratamiento
1. Cuando una operación de tratamiento vaya a ser llevada a cabo por cuenta de un responsable del tratamiento, este recurrirá únicamente a encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos de esta Ley Orgánica y garantice la protección de los derechos del interesado. El encargado podrá ser una persona física o jurídica, de naturaleza privada o pública. 2. El encargado del tratamiento no recurrirá a otro encargado sin la autorización previa por escrito del responsable del tratamiento. El encargado informará siempre al responsable de cualquier cambio previsto referido a la adición o sustitución de otros encargados, pudiendo el responsable oponerse a dichos cambios. 3. El tratamiento por medio de un encargado se regirá por un contrato, convenio u otro instrumento jurídico que corresponda, por escrito, incluyendo la posibilidad del formato electrónico, concluido con arreglo al Derecho de la Unión Europea o a la legislación española. Dicho instrumento jurídico vinculará al encargado con el responsable y fijará el objeto y la duración del tratamiento, su naturaleza y finalidad, el tipo de datos personales y categorías de interesados, así como las obligaciones y derechos del responsable. El instrumento jurídico estipulará, en particular, que el encargado del tratamiento deberá: b) Garantizar, a través del instrumento o sistema oportuno, que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación profesional de secreto o confidencialidad. c) Asistir al responsable del tratamiento por cualquier medio adecuado para garantizar el cumplimiento de las disposiciones sobre los derechos del interesado. d) Suprimir o devolver, a elección del responsable del tratamiento, todos los datos personales al responsable del tratamiento, una vez finalice la prestación de los servicios de tratamiento, así como suprimir las copias existentes, a menos que el Derecho de la Unión Europea o la legislación española requieran la conservación de los datos personales. e) Poner a disposición del responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de estas obligaciones. f) Respetar las condiciones indicadas en este apartado y en el apartado 2 para contratar a otro encargado del tratamiento. 5. El encargado del tratamiento se regirá, en lo no previsto por esta Ley Orgánica, por lo establecido en la Ley Orgánica 3/2018, de 5 de diciembre.
Artículo 31. Tratamiento bajo la autoridad del responsable o del encargado del tratamiento
El encargado del tratamiento, así como cualquier persona que actúe bajo la autoridad del responsable o del encargado del tratamiento y tenga acceso a datos personales, sólo podrá someterlos a tratamiento siguiendo instrucciones del responsable del tratamiento, a menos que esté obligado a hacerlo por el Derecho de la Unión Europea o por la legislación española.
Artículo 32. Registros de las actividades de tratamiento
1. Cada responsable debe conservar un registro de todas las actividades de tratamiento de datos personales efectuadas bajo su responsabilidad. Dicho registro deberá contener la información siguiente: b) Los fines del tratamiento. c) Las categorías de destinatarios a quienes se hayan comunicado o vayan a comunicarse los datos personales, incluidos los destinatarios en Estados que no sean miembros de la Unión Europea u organizaciones internacionales. d) La descripción de las categorías de interesados y de las categorías de datos personales. e) El recurso a la elaboración de perfiles, en su caso. f) Las categorías de transferencias de datos personales a un Estado que no sea miembro de la Unión Europea o a una organización internacional, en su caso. g) La indicación de la base jurídica del tratamiento, así como, en su caso, las transferencias internacionales de las que van a ser objeto los datos personales. h) Los plazos previstos para la supresión de las diferentes categorías de datos personales, cuando sea posible. i) La descripción general de las medidas técnicas y organizativas de seguridad a las que se refiere el artículo 37.1, cuando sea posible. b) Las categorías de tratamientos efectuados en nombre de cada responsable. c) Las transferencias de datos personales a un Estado que no sea miembro de la Unión Europea o a una organización internacional, en su caso, incluida la identificación de dicho Estado o de dicha organización internacional cuando el responsable del tratamiento así lo ordene explícitamente. d) La descripción general de las medidas técnicas y organizativas de seguridad a las que se refiere el artículo 37.1, cuando sea posible. Estos registros estarán a disposición de la autoridad de protección de datos competente, a solicitud de esta, de conformidad con lo dispuesto legalmente. 4. Los responsables de los tratamientos harán público el registro de sus actividades de tratamiento, accesible por medios electrónicos, en el que constará la información a la que se refiere el apartado 1.
Artículo 33. Registro de operaciones
1. Los responsables y encargados del tratamiento deberán mantener registros de, al menos, las siguientes operaciones de tratamiento en sistemas de tratamiento automatizados: recogida, alteración, consulta, comunicación, incluidas las transferencias, y combinación o supresión. Los registros de consulta y comunicación harán posible determinar la justificación, la fecha y la hora de tales operaciones y, en la medida de lo posible, el nombre de la persona que consultó o comunicó los datos personales, así como la identidad de los destinatarios de dichos datos personales. 2. Estos registros se utilizarán únicamente a efectos de verificar la legalidad del tratamiento, controlar el cumplimiento de las medidas y de las políticas de protección de datos y garantizar la integridad y la seguridad de los datos personales en el ámbito de los procesos penales. Dichos registros estarán a disposición de la autoridad de protección de datos competente a solicitud de esta, de conformidad con lo dispuesto legalmente.
Artículo 34. Cooperación con las autoridades de protección de datos
El responsable y el encargado del tratamiento cooperarán con la autoridad de protección de datos competente, en el marco de la legislación vigente, cuando esta lo solicite en el desempeño de sus funciones.
Artículo 35. Evaluación de impacto relativa a la protección de datos
1. Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, suponga por su naturaleza, alcance, contexto o fines, un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, con carácter previo, una evaluación del impacto de las operaciones de tratamiento previstas en la protección de datos personales. 2. La evaluación incluirá, como mínimo, una descripción general de las operaciones de tratamiento previstas, una evaluación de riesgos para los derechos y libertades de los interesados, las medidas contempladas para hacer frente a estos peligros, así como las medidas de seguridad y mecanismos destinados a garantizar la protección de los datos personales y a demostrar su conformidad con esta Ley Orgánica. Esta evaluación tendrá en cuenta los derechos e intereses legítimos de los interesados y de las demás personas afectadas. 3. Las autoridades de protección de datos podrán establecer una lista de tratamientos que estén sujetos a la realización de una evaluación de impacto con arreglo a lo dispuesto en el apartado anterior y, del mismo modo, podrán establecer una lista de tratamientos que no estén sujetos a esta obligación. Ambas listas tendrán un carácter meramente orientativo.
Artículo 36. Consulta previa a la autoridad de protección de datos
1. El responsable o el encargado del tratamiento consultará a la autoridad de protección de datos, antes de proceder al tratamiento de datos personales que vayan a formar parte de un nuevo fichero, en cualquiera de las siguientes circunstancias: b) Cuando el tipo de tratamiento pueda generar un alto nivel de riesgo para los derechos y libertades de los interesados, en particular, cuando se usen tecnologías, mecanismos o procedimientos nuevos. 3. El responsable del tratamiento facilitará a la autoridad de protección de datos competente, la evaluación de impacto contemplada en el artículo 35 y, previa solicitud, cualquier información adicional que permita a dicha autoridad de protección de datos evaluar la conformidad del tratamiento y, más concretamente, el nivel de riesgo para la protección de los datos personales del interesado y las garantías correspondientes. 4. Cuando la autoridad de protección de datos considere que el tratamiento previsto en el apartado 1 pudiera infringir lo dispuesto en esta Ley Orgánica deberá, en un plazo de seis semanas desde la solicitud de la consulta, asesorar por escrito al responsable del tratamiento y, en su caso, al encargado del tratamiento, en especial, cuando el responsable del tratamiento no haya identificado o mitigado suficientemente el peligro o el nivel de riesgo. Asimismo, la autoridad de protección de datos podrá ejercer cualquiera de sus potestades de investigación, corrección o consulta. Este plazo podrá prorrogarse un mes, en función de la complejidad del tratamiento previsto. La autoridad de protección de datos informará al responsable y, en su caso, al encargado acerca de la prórroga, en el plazo de un mes a partir de la recepción de la solicitud de consulta, junto con los motivos de la dilación. En caso de no contestar a la consulta en el plazo previsto, no operará la presunción del carácter favorable del mismo.