Belen Arribas Sánchez

Vicepresidenta de ENATIC.

El CEPD (EDPB, en inglés) ha publicado recientemente las Directrices 07/2020 sobre los conceptos de responsable y encargado del tratamiento en el RGPD, versión 1.0, adoptada el 2 de septiembre de 2020. El texto completo se puede encontrar aquí.

Estas Directrices estuvieron abiertas a consulta pública de septiembre a octubre de 2020 y el CEPD recibió más de un centenar de documentos con comentarios. Los mismos están disponibles en línea en la web del CEPD. Es probable que se publique una nueva versión a corto plazo pero, mientras tanto, los profesionales de la privacidad a menudo recurrimos a estas relevantes Directrices en busca de orientación para resolver asuntos complejos de nuestros clientes relacionados, entre otras cosas, con las relaciones entre grupos de empresas.

Las Directrices son extraordinariamente largas y detalladas (48 páginas).  Ofrecemos aquí nuestra selección de las pautas que ofrecen información relevante para entornos de grupos de empresas:

• (…) Los conceptos de responsable del tratamiento, corresponsables y encargado del tratamiento son conceptos funcionales en el sentido de que tienen como objetivo asignar responsabilidades de acuerdo con los roles reales de las partes y son conceptos autónomos en el sentido de que deben interpretarse principalmente de acuerdo con la normativa europea de protección de datos.

• En principio, no existe limitación en cuanto al tipo de entidad que puede asumir el rol de responsable, pero en la práctica suele ser la organización como tal, y no un individuo dentro de la organización (como el CEO, un empleado o un administrador), que actúa como responsable. Un responsable del tratamiento es un organismo que decide determinados elementos clave del tratamiento.

• La condición de responsable puede estar definida por ley o puede provenir de un análisis de los elementos fácticos o circunstancias del caso. Ciertas actividades de tratamiento pueden verse naturalmente vinculadas al rol de una entidad (un empresario para los empleados, un editor para los suscriptores o una asociación para sus miembros). En muchos casos, los términos de un contrato pueden ayudar a identificar al responsable del tratamiento, aunque no son decisivos en todas las circunstancias.

• Un responsable determina los fines y los medios del tratamiento, es decir, el por qué y el cómo del tratamiento. El responsable del tratamiento debe decidir sobre estos aspectos. Sin embargo, algunos aspectos más prácticos de la implementación ("medios no esenciales") pueden dejarse al encargado. No es necesario que el responsable del tratamiento tenga realmente acceso a los datos que se están procesando para ser calificado como responsable del tratamiento.

• Puede haber situaciones en las que varios actores traten sucesivamente los mismos datos personales en una cadena de operaciones, teniendo cada uno de estos actores un propósito independiente y medios independientes en su parte de la cadena. En ausencia de una participación conjunta en la determinación de los fines y medios de la misma operación de tratamiento o conjunto de operaciones, debe excluirse la corresponsabilidad y los diversos actores deben considerarse como responsables independientes sucesivos.

• El tratamiento de datos personales puede implicar a múltiples encargados. Por ejemplo, un responsable puede optar por involucrar directamente a múltiples encargados o involucrar a diferentes encargados en etapas separadas del tratamiento (múltiples encargados). Un responsable también puede decidir contratar a un encargado, quien a su vez, con la autorización del responsable, contrata a uno o más encargados (“subencargados”). La actividad de tratamiento confiada al encargado puede estar limitada a una tarea o contexto muy específico o puede ser más general y extensa.

• Una entidad separada significa que el responsable decide delegar todas o parte de las actividades de tratamiento a una organización externa. Dentro de un grupo de empresas, una empresa puede ser un encargado de otra empresa que actúa como responsable, ya que ambas empresas son entidades independientes.

• Si el responsable del tratamiento decide tratar los datos por sí mismo, utilizando sus propios recursos dentro de su organización, por ejemplo, a través de su propio personal, ésta no es una situación del encargado.

• El tratamiento de datos personales en nombre del responsable requiere, en primer lugar, que la entidad tercera trate los datos personales en beneficio del responsable. En el artículo 4 (2), el tratamiento se define como un concepto que incluye una amplia gama de operaciones que van desde la recopilación, el almacenamiento y la consulta hasta el uso, la difusión o la puesta a disposición y la destrucción. En la práctica, esto significa que todo tratamiento imaginable de datos personales constituye un tratamiento.

• El tratamiento debe realizarse en nombre de un responsable, pero de otra manera que bajo su autoridad o control directo. Actuar "en nombre de" significa servir a los intereses de otra persona y recuerda el concepto legal de "delegación". En el caso de la legislación de protección de datos, un encargado está llamado a implementar las instrucciones dadas por el responsable al menos con respecto al fin del tratamiento y los elementos esenciales de los medios.

• La licitud del tratamiento de acuerdo con el Artículo 6 y, en su caso, el Artículo 9 del Reglamento, se derivará de la actividad del responsable y el encargado no debe tratar los datos de otra manera que de acuerdo con las instrucciones del responsable. Aun así, como se describió anteriormente, las instrucciones del responsable aún pueden dejar cierto grado de discreción sobre cómo servir mejor a los intereses del responsable, permitiendo que el encargado elija los medios técnicos y organizativos más adecuados.

Por último, resulta muy útil la consulta del diagrama de flujo en el Anexo I (Diagrama de flujo para aplicar los conceptos de responsable, encargado y corresponsables en la práctica) pues puede ayudar a analizar un escenario complejo, por ejemplo, el caso de un grupo de empresas de estructura  sofisticada y sus operaciones de tratamiento y flujos de datos.