Las directrices 07-2020 tienen por objeto proporcionar orientación sobre los conceptos de responsable y encargado del tratamiento, aclarar su significado y sus diferentes funciones, así como la distribución de responsabilidades entre los mismos.
El Comité Europeo de Protección de datos (CEPD o “el Comité”), ha publicado sus Directrices 07/2020, sobre los conceptos de responsable del tratamiento y encargado del tratamiento en el Reglamento General de Protección de Datos (RGPD) (Guidelines 07/2020 on the concepts of controller and processor in the GDPR), adoptadas el pasado día 2 de septiembre.
El documento tiene por objeto proporcionar orientación sobre los conceptos de responsable y encargado del tratamiento, aclarando su significado, sus diferentes funciones y la distribución de responsabilidades entre los mismos. Todo ello sobre la base de las normas y definiciones establecidas en el art. 4 del RGPD y las disposiciones relativas a las obligaciones de dichas figuras contenidos en el capítulo IV de la misma norma.
En estas directrices el Comité recuerda que los conceptos de responsable, corresponsable y encargado del tratamiento juegan un papel crucial en la aplicación de la RGPD, ya que determinan quién asume la responsabilidad en relación con el cumplimiento de la normativa de protección de datos y el ejercicio en la práctica de los derechos de los interesados. Todo ello en relación con el principio de responsabilidad proactiva o accountability, definido en los arts. 24 y 28 del RGPD, que se constituye en principio central.
Por ello, el Comité enfatiza en el que el significado preciso de esos conceptos y los criterios para su correcta interpretación deben ser suficientemente claros y coherentes en todo el Espacio Económico Europeo (EEE).
En este sentido, destaca el hecho de que estos conceptos son funcionales y autónomos. Funcionales en el sentido de que tienen por objeto asignar responsabilidades en función del papel real de cada parte en el tratamiento de los datos. Y autónomos en el sentido de que deben interpretarse principalmente de acuerdo con la legislación de protección de datos de la UE.
El responsable del tratamiento
El Comité indica que el concepto de responsable contenido en el art. 4.7 del RGPD se articula en torno a cinco bloques:
- “la persona física o jurídica, autoridad pública, servicio u otro organismo”
- “que determine”
- “solo o junto con otros”
- “los fines y medios”
- “del tratamiento [de datos personales]”
En cuanto al primer punto, el Comité destaca que, en principio, no hay ninguna limitación en cuanto al tipo de entidad que puede asumir el papel de responsable del tratamiento, aunque en la práctica suele ser la organización como tal, y no un individuo dentro de la organización (como el director general, un empleado o un miembro de su consejo de administración), el que actúa como responsable del tratamiento.
En cuanto al segundo, el responsable del tratamiento es un organismo dentro de la organización que decide ciertos elementos clave del tratamiento. El control puede estar definido por la norma o puede derivarse de un análisis de los elementos de hecho o de las circunstancias del caso.
Ciertas actividades de tratamiento pueden considerarse naturalmente vinculadas a la función de un ente de la organización (un empleador con respecto a sus empleados, un editor en relación con sus suscriptores o una asociación con respecto a sus miembros). En muchos casos, los términos de un contrato pueden ayudar a identificar al responsable del tratamiento, aunque estos no son decisivos en todas las circunstancias.
Un responsable del tratamiento determina los fines y medios del tratamiento, es decir, el por qué y el cómo del tratamiento. Sin embargo, algunos aspectos más prácticos de la implementación de esos medios aplicación ("medios no esenciales") pueden dejarse en manos del encargado del tratamiento. No es necesario que el responsable tenga realmente acceso a los datos que se están tratando para ser calificado como responsable del tratamiento.
El tercer punto determina que varias entidades diferentes pueden actuar como responsables de un mismo tratamiento, en cuyo caso cada una de ellas estará sujeta a las disposiciones sobre protección de datos aplicables. En consecuencia, una organización puede seguir siendo responsable del tratamiento, aunque no sea ella las que asuma todas las decisiones en cuanto a los fines y medios del mismo.
El cuarto elemento de la definición de responsable se refiere al objeto de su capacidad para decidir sobre los "fines y medios" del tratamiento. Representa la parte sustantiva del concepto de responsable: lo que debe hacer para ser considerado como tal responsable.
Finalmente, los fines y medios del tratamiento establecidos por el responsable deben estar relacionados con el "tratamiento de datos personales", que el artículo 4.2 del Reglamento define como "cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales ". En consecuencia, el concepto de responsable puede estar vinculado a una sola operación de tratamiento o a un conjunto de operaciones. En la práctica, esto puede significar que el control ejercido por una entidad concreta puede extenderse a la totalidad del tratamiento en cuestión pero también puede limitarse a una etapa particular del mismo.
Corresponsables del tratamiento
La calificación de corresponsables del tratamiento se da cuando más de un actor participa en el tratamiento de datos (art. 26 RGPD: “Cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento serán considerados corresponsables del tratamiento”).
Se trata de una figura que no es nueva en sí, pues ya se recogía en la Directiva 95/46/CE, pero que el Reglamento recoge dotándola de requerimientos específicos. Además, la jurisprudencia del TJUE ha venido ha interpretarla y a clarificar su concepto e implicaciones (vid en este sentido las sentencias recaídas en los asuntos a C-25/17 (Fashion ID) y C-40/17).
El criterio general para que exista una corresponsabilidad en el tratamiento de datos personales es la participación conjunta de dos o más entidades en la determinación de los fines y medios de una operación de tratamiento. La participación puede adoptar la forma de una decisión común adoptada por dos o más entidades o ser el resultado de decisiones convergentes de dos o más entidades, donde las decisiones se complementan entre sí y son necesarias para que el tratamiento se realice de manera que tenga un impacto tangible en la determinación de los fines y medios del tratamiento.
A estos efectos, el Comité señala que un criterio importante es que el tratamiento no fuera posible sin la participación de ambas partes en el sentido de que el tratamiento por cada una de las partes sea inseparable, es decir, esté inextricablemente ligada. La corresponsabilidad debe incluir la determinación de los fines, por un lado, y la determinación de los medios, por el otro.
Encargado del tratamiento
Un encargado del tratamiento es una persona física o jurídica, una autoridad pública, un organismo u otro órgano que trata datos personales en nombre del responsable del tratamiento. Existen dos condiciones básicas para calificar como encargado del tratamiento: que se trate de una entidad separada en relación con el responsable del tratamiento y que trate los datos personales en nombre del responsable del tratamiento.
El encargado del tratamiento no debe tratar los datos de otra manera que no sea de acuerdo con las instrucciones del responsable.
Las instrucciones del responsable del tratamiento pueden dejar un cierto grado de discreción sobre la forma de servir mejor a los intereses del responsable del tratamiento, permitiendo al encargado elegir los medios técnicos y organizativos más adecuados. Sin embargo, un encargado del tratamiento infringe el RGPD si va más allá de las instrucciones del responsable y comienza a determinar sus propios fines y medios de tratamiento. El encargado del tratamiento será entonces considerado un responsable con respecto a ese tratamiento y puede ser objeto de sanción por ir más allá de las instrucciones del responsable del tratamiento.
Relación entre el responsable y el encargado del tratamiento
El responsable del tratamiento sólo debe utilizar encargados que ofrezcan garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas para que el tratamiento cumpla con los requisitos del RGPD. El Comité recuerda que los elementos a tener en cuenta a estos efectos podrían ser el conocimiento experto del encargado del tratamiento (por ejemplo, la experiencia técnica con respecto a medidas de seguridad y brechas de seguridad), su fiabilidad y recursos y su adhesión a un código de conducta o mecanismo de certificación aprobado.
Todo tratamiento de datos personales por un encargado debe regirse por un contrato u otro acto jurídico que deberá formalizarse por escrito, incluso en forma electrónica, y será vinculante. El responsable y el encargado del tratamiento podrán elegir negociar su propio contrato incluyendo todos los elementos obligatorios o confiar, en su totalidad o en parte, en cláusulas contractuales estándar.
El RGPD enumera los elementos que deben ser incluirse en el contrato con el encargado. Pero el Comité destaca que este contrato no debe limitarse a reiterar las disposiciones de la RGPD, sino que debe incluir información más específica y concreta sobre cómo se cumplirán los requisitos y qué nivel de seguridad es necesario para el tratamiento de los datos personales objeto del contrato de tratamiento.
Relación entre los corresponsables del tratamiento
Los corresponsables del tratamiento deberán determinar y acordar de manera transparente sus respectivas responsabilidades para el cumplimiento de las obligaciones establecidas por el RGPD. La determinación de sus respectivas debe tener en cuenta, en particular, el ejercicio de los derechos de los interesados y las obligaciones relacionadas con el suministro de información.
Además, la distribución de responsabilidades debe abarcar a otras obligaciones de los responsables del tratamiento, como las relativas a los principios generales de protección de datos, la base jurídica, las medidas de seguridad, la obligación de notificación de brechas de seguridad, las evaluaciones de impacto de protección de datos, el recurso a encargados, las transferencias de datos a países terceros y el contacto con los interesados y las autoridades de supervisión.
El Comité subraya que cada corresponsable tiene el deber de asegurarse de que cuenta con una base legal para el tratamiento y de que los datos no se tratan posteriormente de manera incompatible con los fines para los que fueron originalmente recogidos por el responsable que los comparte.
La forma jurídica del acuerdo entre los corresponsables conjuntos no está especificada por el RGPD. En pro de la seguridad jurídica, y a fin de garantizar la transparencia y la rendición de cuentas, el Comité recomienda que ese acuerdo se haga en forma de un documento vinculante, como un contrato u otro tipo de acto vinculante en virtud de la legislación de la UE o de los Estados miembros a la que están sujetos los encargados.
El acuerdo deberá reflejar debidamente las funciones y relaciones respectivas de los corresponsables con respecto a los interesados y la esencia del acuerdo se pondrá a disposición del interesado.
Independientemente de las condiciones del acuerdo, los interesados podrán ejercer sus derechos respecto de y contra cada uno de los corresponsables.
Finalmente, el Comité recuerda que las autoridades de control no están obligadas por los términos del acuerdo ya sea sobre la cuestión de la calificación de las partes como corresponsables o el punto de contacto designado.