El Comité Europeo de Protección de Datos publica unas indicaciones clave sobre los conceptos de encargado, responsable y corresponsable del tratamiento, en sus Directrices 07/2020.
El Comité Europeo de Protección de Datos (CEPD) publicó el pasado 7 de septiembre sus Directrices 07/2020 sobre los conceptos de responsable y encargado de tratamiento bajo el RGPD, con la intención de delimitar un significado preciso de los mismos y un criterio adecuado para su correcta interpretación, de manera que se aplique de forma consistente en todos los países del Espacio Económico Europeo.
Desde que el TJUE determinase, en el caso Fashion ID, C-40/17, que el minorista de moda Fashion ID actuaba como corresponsable del tratamiento junto con Facebook al incorporar el botón de ‘Me gusta’ en su página web, el concepto de corresponsabilidad del tratamiento parece tener ahora un alcance más amplio, y aplicarse a ciertos tratamientos que en el pasado habrían tomado una consideración distinta.
En nuestro artículo de hoy analizamos las principales consideraciones del CEPD en relación al concepto de corresponsabilidad del tratamiento.
El concepto de corresponsable del tratamiento en el RGPD
Conforme al Artículo 26 del RGPD, se puede dar corresponsabilidad en el tratamiento cuando dos o más responsables determinan de manera conjunta los medios y los objetivos del tratamiento. El RGPD también establece que las partes implicadas deberán definir sus respectivas obligaciones de cumplimiento en un acuerdo entre las mismas, cuyos aspectos esenciales se pondrán a disposición de los interesados. Sin embargo, el RGPD no contiene ninguna disposición relativa a los detalles de esta figura, como la definición de “conjuntamente” o la forma legal que deberá tomar el acuerdo.
Participación conjunta.
El CEPD explica que la participación conjunta puede ser mediante una decision común o a través de decisions convergentes. Así por tanto, en la práctica, la participación conjunta puede tomar formas diversas y no require el mismo grado de implicación o responsabilidad proporcional de cada uno de los responsables en cada caso.
- Participación conjunta mediante una decision común. Implica que los responsables decidan juntos y tomar una decisión conjunta.
- Participación conjunta mediante decisiones convergentes. Esta variedad deriva de la jurisprudencia del TJUE sobre el concepto de corresponsables. Conforme al RGPD, los requisitos que las decisiones deberían cumplir para ser consideradas decisiones convergentes en los objetivos y medios del tratamiento son las siguientes:
- Se complementan la una a la otra.
- Son necesarias para que el tratamiento tenga lugar de tal manera que repercutan en un impacto tangible en la determinación de los objetivos y medios del tratamiento.
Como resultado, la pregunta que debería plantearse a fin de identificar si se da el escenario de decisiones convergentes yace sobre el siguiente planteamiento: “¿Sería el tratamiento posible sin la participación de todos los responsables en el sentido de que la participación de todos es indispensable?”.
Asimismo, el CJE destaca el hecho de que no es necesario que todas las partes tengan acceso a los datos para que se les considere parte de una relación de corresponsabilidad.
Objetivo determinado de manera conjunta
El CEPD considera que hay dos situaciones bajo las que los objetivos perseguidos por los responsables de tratamiento pueden considerarse como determinados de manera conjunta:
- Las entidades involucradas en la misma operación traten esos datos con fines definidos de manera conjunta.
- Las entidades involucradas persigan objetivos que están muy estrechamente vinculados o son complementarios. Podría ser el caso, por ejemplo, donde haya un beneficio mutuo que resulte de la misma operación de tratamiento, sujeto a que cada una de las entidades participen en la determinación de los objetivos y medios de la correspondiente operación de tratamiento.
Medios determinados de manera conjunta
La corresponsabilidad requiere que todas las partes involucradas ejerzan influencia en los medios del tratamiento. Sin embargo, esto no implica necesariamente que cada uno de los responsable determine en todos los casos todos los medios. Pueden darse diferentes circunstancias que conduzcan a una situación de corresponsabilidad siempre que se cumplan el resto de condiciones, incluso cuando la determinación de los medios no se comparta de forma equitativa entre todas las partes, por ejemplo:
- Diferentes corresponsables determinan los medios del tratamiento a distintos niveles, dependiendo de quien esté efectivamente en la posición de hacerlo.
- Una de la entidades suministra los medios del tratamiento y los pone a disposición de otras entidades para sus actividades de tratamiento. La parte que decide hacer uso de dichos medios a fin de que los datos personales se traten para un objetivo determinado también participa en la elección de los medios del tratamiento. Por ejemplo, una entidad que usa para sus objetivos propios una herramienta o sistema desarrollado por otra entidad y que permite el tratamiento de datos personales, probablemente estará tomando una decisión conjunta en relación a los medios del tratamiento para ambas entidades.
Limitaciones a la corresponsabilidad
El hecho de que diferentes actores participen en el mismo tratamiento no significa que estén necesariamente actuando como responsables conjuntos de dicho tratamiento. No todos los tipos de asociación, cooperación o colaboración conllevan corresponsabilidad del tratamiento, pues dicha clasificación requiere un análisis caso por caso de cada tratamiento y el papel preciso que juega cada una de las partes. El CEPD ofrece una lista no exhaustiva de ejemplos de situaciones donde no se da corresponsabilidad:
- Operaciones anteriores o posteriores: mientras que dos partes pueden ser consideradas corresponsables en relación a un tratamiento específico donde el objetivo y los medios se hayan determinado de forma conjunta, esto no afecta a los objetivos y medios de operaciones de tratamiento anteriores o posteriores en la cadena de tratamiento. En esos casos, la entidad que decide será considerada como responsable única de las mismas.
- Objetivo propio: la figura del corresponsable deberá distinguirse de la de encargado, pues éste, aunque también participa en el desarrollo del tratamiento, no trata los datos con sus propios objetivos, sino que lo hace por parte del responsable.
- Beneficio comercial: la mera existencia de un beneficio mutuo que resulte de una actividad de tratamiento no conduce a corresponsabilidad. Por ejemplo, si una de las entidades simplemente recibe un precio por los servicios prestados, estará actuando como un encargado y no como corresponsable.
Por ejemplo, el uso de un sistema de tratamiento de datos común o una infraestructura no será suficiente para considerar a las partes corresponsables, en concreto en los casos en que el tratamiento se lleve a cabo de forma separada y pudiese desarrollarse por una de las partes sin la intervención de la otra, o donde el proveedor sea un encargado del tratamiento dada la ausencia de objetivos propios. Otro ejemplo sería la cesión de datos de los empleados a las autoridades fiscales.
Acuerdo de corresponsabilidad
Los corresponsables deberían establecer un acuerdo de corresponsabilidad donde acuerden de manera conjunta y transparente sus respectivas obligaciones en cumplimiento con el RGPD. La siguiente lista no exhaustiva de tareas debería concretarse en dicho documento:
- Respuesta a las solicitudes de ejercicio de los derechos reconocidos a los interesados por el RGPD.
- Deberes de transparencia en la provisión de la información relevante recogida en los artículos 13 y 14 del RGPD.
- Implementación de los principios de protección de datos generales.
- Base legítima para el tratamiento.
- Medidas de seguridad.
- Notificación de una brecha de seguridad a la autoridad de control y a los interesados.
- Evaluaciones de Impacto de Protección de Datos.
- El uso de encargados de tratamiento.
- La transferencia de datos a terceros países.
- Comunicaciones y contacto con los interesados y las autoridades de control.
El CEPD recomienda documentar todos los factores determinantes así como el análisis interno llevado a cabo para asignar cada una de las obligaciones. Dicho análisis será parte de la documentación debida bajo el principio de rendición de cuentas.
Por último, en relación a la forma del acuerdo, incluso aunque no exista un requisito legal en el RGPD al respecto, el CEPD recomienda que tal acuerdo se haga mediante un documento vinculante como un contrato o cualquier otro que lo sea bajo el derecho de la Unión o de los Estados Miembro.
Se puede aportar comentarios a estas Directrices gasta el 19 de octubre.
¿Tienes dudas sobre cómo cumplir con la normativa de protección de datos? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, cumplimiento con la CCPA, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos.