El interesado o afectado es la persona física titular de los datos objeto del tratamiento, y se le reconocen determinados derechos sobre su gestión.

El responsable es la persona física o jurídica que decide sobre la finalidad, contenido y uso de los datos.

Los encargados son los sujetos que realizan el tratamiento de los datos.

Los destinatarios o cesionarios son aquellas personas a las que se revelan los datos, a los que se les da a conocer.

La cesión debe realizarse con consentimiento previo del afectado y obedecer al cumplimiento de fines relacionados con las funciones de cedente y cesionario, excepto en una serie de casos concretos, como en datos fiscales regulados por leyes, cesión entre Administraciones Públicas para determinados fines...

El exportador es la persona física o jurídica, pública o privada, situada en territorio español que realice una transferencia de datos de carácter personal a un tercer país.

     En las relaciones jurídicas que se proyectan sobre el tratamiento de datos personales aparecen necesariamente varios sujetos que la ley no se olvida de definir.

     En primer lugar hay que situar al interesado o afectado, esto es, a la persona física titular de los datos objeto del tratamiento. A causa de su vinculación con la información tiene poder de disposición sobre la misma por lo que se le reconocen determinados derechos en lo que a su gestión se refiere (ej. Consentimiento para la cesión, derecho a la información, derecho a la cancelación, etc). No obstante, en ocasiones, cuando el titular es incapaz o menor de 14 años, precisará la asistencia de sus representantes legales para hacerlo. Además, en estos casos, la ley se preocupa especialmente de la vulnerabilidad del menor para evitar que, a través del mismo se recopilen de forma indirecta datos relativos a miembros de su familia tales como los datos relativos a la actividad profesional de los progenitores, información económica, datos sociológicos o cualesquiera otros (art. 13.2 RD. 1720/2007).

     Además del titular intervienen normalmente otros sujetos, entre los que sobresalen los responsables o titulares del fichero o del tratamiento, los encargados del mismo, los destinatarios o cesionarios y los exportadores de datos.

     La ley define a los responsables como toda persona física o jurídica, pública, privada u órgano administrativo que decida sobre la finalidad, contenido y uso de los datos. Es decir, la nota distintiva de este tipo de sujetos es el efectivo poder de actuación sobre los datos personales, por lo que la ley les impondrá una serie de restricciones y cautelas para proteger el potencial poder informativo que éstos representan. Empleando una expresión gráfica podría decirse que el titular del fichero es el dueño del mismo, bien realice su tratamiento o no.

     Asimismo, son considerados encargados del tratamiento todos los sujetos que realicen las gestiones definidas en los parágrafos anteriores como tal. No obstante, no debe pensarse que, en todos los casos, el responsable y el encargado son personas distintas, toda vez que es posible que ambas actuaciones se lleven a cabo por un mismo sujeto.

     (ej. Una empresa recoge y gestiona por sí misma los datos de sus clientes, en cuyo caso sería responsable y encargada, pero también puede encomendar esta labor a un tercero, diferenciándose, entonces, ambas actuaciones).

     Así lo ha visto la STS de 5 de junio de 2004 al establecer que se desprende asimismo la diferenciación de dos responsables en función de que el poder de decisión vaya dirigido al fichero o al propio tratamiento de datos. Así, el responsable del fichero es quien decide la creación del fichero y su aplicación, y también su finalidad, contenido y uso, es decir, quien tiene capacidad de decisión sobre la totalidad de los datos registrados en dicho fichero. El responsable del tratamiento, sin embargo, es el sujeto al que cabe imputar las decisiones sobre las concretas actividades de un determinado tratamiento de datos, esto es, sobre una aplicación específica.

     Los destinatarios o cesionarios son aquellas personas a las que se les revelan los datos. La ley protege al interesado estableciendo la obligación de que la cesión quede vinculada a dos premisas fundamentales, a saber:

  • Consentimiento previo del afectado.

  • Que la cesión obedezca al cumplimiento de fines directamente relacionados con las funciones de cedente y cesionario.

     No obstante, en ciertas ocasiones, la ley (art. 11) exceptúa el cumplimiento de estas premisas para los casos en que:

  • La cesión esté autorizada por una Ley, como sucede con ciertas leyes fiscales.

  • Cuando se trate de datos recogidos de fuentes accesibles al público.

  • Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente conexión de dicho tratamiento con ficheros de terceros.

  • Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas.

  • Cuando la cesión se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos y científicos.

  • Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica. En estos casos es la nota de urgencia la que exime de las formalidades dimanantes del consentimiento, por lo que habrá que prestar especial atención a cada caso en concreto.

     Por último, el exportador de datos personales se define como la persona física o jurídica, pública o privada, u órgano administrativo situado en territorio español que realice una transferencia de datos de carácter personal a un país tercero (art. 5 RD 1720/2007).