¿Pueden existir varios responsables en un tratamiento de datos personales?

Como ya hemos visto en anteriores artículos, el nuevo Reglamento en materia de protección de datos (RGPD) promueve la transparencia y claridad a la hora de definir y declarar los tratamientos de datos personales.

La transparencia es un principio clave, ya que garantiza que la responsabilidad se defina con claridad y se aplique de forma efectiva. Debe informarse de quién es responsable del tratamiento de datos personales, quién tiene acceso a los mismos y qué se va hacer con ellos.

Es posible que existan dos o más responsables de un tratamiento de datos personales, cuando éstos decidan de forma conjunta los objetivos  (por qué) y los medios (cómo) del mismo. En estos casos, la legislación de protección de datos habla de corresponsables o joint controllers.

El Artículo 26 del RGPD establece que debe existir un acuerdo entre los diferentes responsables. En este acuerdo debe establecerse de modo transparente y de mutuo acuerdo las responsabilidades respectivas de cada uno de ellos, poniendo especial atención a los derechos de los interesados (data subjects).

En el acuerdo deberá quedar reflejado las funciones y relaciones que cada corresponsable asuma en relación a los interesados y ante quién deben ejercitarse los derechos de acceso, rectificación, cancelación y olvido, portabilidad o limitación del tratamiento.

Cada uno de los responsables informará a los interesados de los aspectos esenciales de ese acuerdo, y puede establecerse un punto común de contacto. El interesado podrá ejercer sus derechos frente a cualquiera de los corresponsables.

Necesidad de aclarar la división de funciones

Las partes que actúan conjuntamente tienen cierto grado de flexibilidad a la hora de asignar y repartirse las obligaciones y responsabilidades, de ahí la importancia del acuerdo entre responsables. No podemos presentar una lista cerrada de los distintos tipos de control conjunto, debido a las múltiples opciones que en la práctica podrían darse.

jointcontrollers

En el caso de responsabilidad conjunta o corresponsabilidad el acuerdo entre ellos debe determinar:

1. los roles, responsabilidades y relaciones entre los responsables

  • quién es responsable de qué
  • duración, finalidad y derechos de los interesados
  • en caso de categorías especiales de datos, quién tiene acceso a qué

2. sus respectivas obligaciones para proveer información a los interesados

  • La parte esencial del acuerdo debe ser puesta a disposición de los interesados (data subjects)
  • la forma en que los interesados pueden ejercer sus derechos
  • la responsabilidad frente a una violación de seguridad (quién reporta qué)

3. sus respectivas obligaciones para garantizar los derechos de los interesados

  • Debe establecerse de forma clara un punto de contacto común para que los interesados puedan comunicar/ejercer sus derechos
  • se recomienda poner en marcha planes de actuación definiendo las medidas que deben tomarse para el caso de que se produzca algún riesgo

A continuación os damos algunos ejemplos prácticos para distinguir las distintas estructuras, dependiendo del rol de cada una de las partes:

corresponsables

Tras la entrada en vigor del RGPD el Tribunal de Justicia de la Unión Europea (TJUE) ha dictado varias sentencias sobre la responsabilidad conjunta de un tratamiento de datos personales. En próximos artículos analizaremos en detalle estas sentencias y las posibles consecuencias de las mismas.

Más información:

Dictamen 1/2010 sobre los conceptos de responsable del tratamiento y encargado
del tratamiento  – Grupo de trabajo del artículo 29 adoptado el 16 de febrero de 2010

¿Quiénes son los actores principales en materia de protección de datos personales?

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

WordPress.com.

Subir ↑

A %d blogueros les gusta esto: