Togas.biz

Al tratar las relaciones entre diferentes entidades a efectos de protección de datos personales y su posición como responsables o encargados, cobra cada vez mayor relevancia la figura que, en gran medida debido a su escueta regulación, no ha sido hasta ahora de profusa utilización. No obstante, con la proliferación de los esquemas de negocio colaborativos y una mayor colaboración entre empresas, esta figura deviene de especial importancia. Nos referimos a la corresponsabilidad en el tratamiento de datos.

Guía del Supervisor Europeo

El pasado 7 de noviembre de 2019, el Supervisor de Protección de Datos de la Unión Europea (EDPS) publicó una guía sobre los conceptos de responsable, encargado y corresponsable del Reglamento 2018/1725, aplicable al tratamiento de datos personales por parte de las instituciones europeas.

Pese a interpretar una normativa diferente al Reglamento 2016/679 (RGPD), y estar dirigida a instituciones de la Unión Europea, esta guía es de interés para el resto de sujetos obligados a cumplir el RGPD, puesto que los conceptos de responsable, encargado y corresponsable de ambas normas es muy similar. Además, el propio EDPS incide en que los conceptos han de interpretarse de igual manera, no solo por su redacción afín, sino también por la aceptación por parte del EDPS –para aplicarla al Reglamento 2018/1725– de la última jurisprudencia del Tribunal de Justicia de la Unión Europea (TJUE) sobre corresponsabilidad, que interpreta la Directiva 95/46 y el RGPD.

Aclaraciones sobre la figura del corresponsable

Las consideraciones del EDPS sobre la figura del responsable y la del encargado son en gran medida similares a la especificadas por el Grupo de Trabajo del Artículo 29 en su Opinión 1/2010 sobre los conceptos de responsable y encargado del tratamiento. No obstante, en el caso de la figura del corresponsable, la guía incorpora algunas aclaraciones novedosas sobre esta figura de tan exigua regulación en línea con la última jurisprudencia del TJUE.

Así, el EDPS diferencia entre aquellos casos en los que la corresponsabilidad es sobre todo el tratamiento de los datos y aquellos en los que solo existe corresponsabilidad en algunas fases del tratamiento, siendo aplicable a las otras una responsabilidad separada. Asimismo, el EDPS asume la interpretación de la STJUE Jehovan y recoge que incluso cuando uno de los corresponsables no trate datos en ningún momento, si ha decidido conjuntamente los fines y los medios del tratamiento, será un corresponsable.

Contenido mínimo del acuerdo de corresponsabilidad

Asimismo, el EDPS aclara los aspectos mínimos que deberá regular el acuerdo de corresponsabilidad para cumplir con los requisitos que la normativa establece para llevar a cabo un tratamiento como corresponsables protegiendo debidamente los datos personales objeto de tratamiento. Así, acuerdo deberá contener:

  • las respectivas responsabilidades y roles que asumirán los corresponsables;
  • el modo de informar a los interesados sobre las características del tratamiento y, cuando no resulte directamente de la configuración del tratamiento, cuál de los corresponsables deberá informar;
  • las obligaciones de implantación de medidas técnicas y organizativas de cada corresponsable y el mecanismo establecido en caso de violaciones de seguridad;
  • un punto de contacto para el ejercicio de derechos;
  • un mecanismo de cooperación entre los corresponsables para responder al ejercicio de derechos por parte de los interesados;
  • cuando sea necesario, una metodología de evaluación de impacto conjunta; y
  • un mecanismo acordado de contratación de encargados de tratamiento.

Responsabilidad por incumplimiento bajo el Reglamento 2018/1725

Por último, el EDPS aclara que, mientras que en muchos aspectos la figura del corresponsable del Reglamento 2018/1725 y el RGPD se puede asimilar en la mayoría de sus extremos, no es así en el régimen de responsabilidad por incumplimiento.

El Reglamento 2018/1725 no incluye un régimen de daños como el establecido en el artículo 82 RGPD, por lo que obliga a los interesados que hayan sufrido un daño debido a un incumplimiento de la normativa de protección de datos personales por parte de una institución de la Unión Europea a acudir a otros mecanismos de reclamación como pudiera ser el artículo 340 del Tratado de Funcionamiento de la Unión Europea. Este precepto establece que, en el caso de responsabilidad extracontractual, la Unión Europea deberá responder ante cualquier daño causado por sus instituciones o por sus funcionarios en el ejercicio de sus obligaciones, de acuerdo a los principios generales del Derecho aplicables en cada Estado miembro.

En definitiva, esta guía es la primera que recoge la última jurisprudencia del TJUE sobre corresponsabilidad e intenta arrojar algo más de luz sobre esta figura.

Pedro Méndez de Vigo