Con arreglo a las definiciones contenidas en el artículo 4 del Reglamento general de protección de datos (RGPD), es responsable del tratamiento la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento. Añade el RGPD que, si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros. Igualmente se define en el artículo 4 RGPD el encargado del tratamiento como la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

Con anterioridad a la entrada en vigor de las modificaciones introducidas en la Ley Orgánica del Poder Judicial por la Ley Orgánica 7/2021, de 26 de mayo, el artículo 236 sexies, apartado 1, de se  atribuía la condición de responsable de los tratamientos de carácter jurisdiccional (responsable de los ficheros jurisdiccionales, en la terminología del precepto) al “órgano jurisdiccional u Oficina Judicial ante el que se tramiten los procesos cuyos datos se incorporen al fichero, y dentro de él decidirá quien tenga la competencia atribuida por la normativa vigente de acuerdo a la solicitud que se reciba del ciudadano”.

Tras las modificaciones introducidas por la mencionada Ley Orgánica 7/2021, de 26 de mayo, la LOPJ no realiza ninguna atribución específica de la condición de responsable del tratamiento, limitándose a precisar en el apartado 2 del artículo 236 bis que los tratamientos de datos personales en la Administración de Justicia se llevarán a cabo por el órgano competente y, dentro de él, por quien tenga la competencia atribuida por la normativa vigente.

De la regulación contenida en la LOPJ cabe concluir que la condición de responsable del tratamiento recae en el órgano jurisdiccional u oficina judicial ante el que se sigue el proceso, respecto de los tratamientos de los datos obrantes en el mismo desarrollados en el ejercicio de la actividad jurisdiccional con arreglo a las previsiones contenidas en las normas orgánicas y procesales. Dicha cualidad de responsable del tratamiento se deriva, por lo demás, a falta de determinación expresa al respecto de la LOPJ, de la propia definición de responsable del tratamiento contenida en el Reglamento general de protección de datos -quien determina los fines y medios del tratamiento-, aun cuando no quepa desde luego obviarse que en este ámbito la determinación de los fines y medios de los tratamientos viene en gran medida establecida en la normativa orgánica judicial y las propias leyes procesales.

La nueva redacción del artículo 236 sexies de la LOPJ introduce ciertas prevenciones respecto de las competencias y funciones de las denominadas Administraciones prestacionales en materia de Administración de Justicia que guardan relación con esta materia, siendo las más destacadas en este punto las siguientes:

I ) La Administración competente deberá suministrar los medios tecnológicos adecuados para que se proceda al tratamiento de los datos personales conforme a las disposiciones legales y reglamentarias.

II) La Administración competente deberá cumplir con las responsabilidades que en materia de tratamiento y protección de datos personales se le atribuya como administración prestacional.

III) Se deberán adoptar las medias organizativas adecuadas para que la Oficina judicial realice un adecuado tratamiento de los datos personales. Previo informe del CGPJ, el Ministerio de Justicia deberá elaborar y actualizar los códigos de conducta destinados a contribuir a la correcta aplicación de la normativa de protección de datos personales en la Oficina judicial, adecuando la normativa general a los propios de la regulación procesal y organización de la Oficina judicial.

Por otra parte, puesto que corresponde a las administraciones prestacionales la dotación de medios personales y materiales a la Administración de Justicia, para ello es preciso recurrir, en ocasiones, a la contratación de terceros. En la medida que el objeto del contrato implique la realización de tratamientos de datos personales, los correspondientes contratos con los encargados del tratamiento deben contener las exigencias establecidas en el artículo 28.3 del Reglamento general de protección de datos. Además, los contratistas, en aplicación de lo dispuesto en la Disposición Adicional Primera de la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales, deben aplicar el Esquema Nacional de Seguridad (ENS) y, por ende, su vertiente aplicable al ámbito judicial, constituido por el Esquema Judicial de Interoperabilidad y Seguridad (EJIS).

Por último, debido a las peculiaridades de la organización judicial, las administraciones prestacionales, en el desarrollo de los cometidos que le son propios, deberán realizar determinadas actuaciones, tales como los análisis de riesgos o las evaluaciones de impacto, que el RGPD directamente a los responsables del tratamiento.