Hogan Lovells 2024 Election Impact and Congressional Outlook Report
Aunque los conceptos de responsable y encargado del tratamiento han sido ampliamente estudiados y analizados en el pasado, el Comité Europeo de Protección de Datos ha publicado recientemente una guía en la que, además de repasar estas figuras bajo el RGPD y facilitar un gran número de útiles ejemplos, se centra en la figura del momento: la corresponsabilidad.
La Guía 7/2020 sobre los conceptos de responsable y encargado en el RGPD (la “Guía”), en fase de consulta pública hasta el 19 de octubre de 2020, analiza en detalle los conceptos de responsable, encargado y corresponsable del tratamiento y todo lo que conlleva cada uno de estos supuestos. A continuación desgranaremos algunos de los puntos más relevantes que detalla el CEPD en relación con los conceptos y responsabilidades que conllevan estos roles y, en concreto, nos centraremos en la figura del corresponsable, que día tras día va tomando mayor protagonismo.
Responsable y Encargado del tratamiento:
A este respecto, la Guía no resulta especialmente innovadora. Recuerda los conceptos de responsable y encargado del tratamiento bajo el RGPD aunque no sean conceptos nuevos.
Con respecto al “mundo del encargo del tratamiento”, la Guía se detiene a explicar en detalle: (i) las distintas obligaciones que surgen en la relación responsable-encargado del tratamiento (p.ej., diligencia a la hora de seleccionar al encargado, firma de un contrato por escrito, etc.); y (ii) el contenido que debe tener el contrato (ex. art. 28 RGPD) que regule la relación entre ambas partes desde una perspectiva de protección de datos.
La gran mayoría de las autoridades de protección de datos de la UE han ido publicando guías y ejemplos de contratos de encargo de tratamiento (entre otras, la AEPD española). Sin embargo, es interesante revisar cada uno de los apartados del art. 28.2 RGPD para replantear alguna de las cláusulas “proforma” que se usan a menudo en los contratos de encargo. La Guía aclara el grado de detalle que algunas cláusulas deben prever, de forma que el contrato de encargo del tratamiento no termine por ser un embellecido copy/paste del art. 28 RGPD (p.ej., en lo relativo a la subcontratación, medidas de seguridad, etc.).
Corresponsable del tratamiento:
Para concluir, y como es habitual, a lo largo de la Guía se incluyen una serie de ejemplos bastante útiles –alguno solo acude a la Guía por ellos– que tratan escenarios que pueden resultar controvertidos. Además, se adjuntan como anexos unos diagramas que sirven de guía (valga la redundancia) para determinar cuándo nos encontramos ante un supuesto de responsable, encargado o corresponsable del tratamiento.
Escrito por Santiago de Ampuero, Víctor Mella y Graciela Martín