Las figuras más obvias y, en todo caso, capitales en la regulación del tratamiento de datos personales son las de Responsable y Encargado. Tanto la regulación marco del Reglamento General de Protección de Datos Personales (RGPD -UE) como la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales, tratan y definen ambas figuras, la segunda dedicando sus Capítulos I y II del Título V y el primero en el Capítulo IV
Así el RGPD – UE viene a definir (Artículo 4 de Definiciones) al “responsable del tratamiento” o “responsable” como la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento. Y “encargado del tratamiento” o “encargado”: la persona física o jurídica, autoridad publica, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento;
Los desarrollos tecnológicos, más concretamente las distintas plataformas tecnológicas de servicios y en especial, aquellas estructuras publico – privadas en las que agentes de ambos ámbitos colaboran para generar facilidades innovadoras al ciudadano generan situaciones de tratamientos de datos donde la distinción entre encargado y responsable, que por definición es de puro servicio del primero al segundo, ya no sea tan nítida y requiera de un esfuerzo adicional a los involucrados que garantice la correcta regulación de los derechos de las personas en materia de protección de datos personales.
Tanto RGPD-UE como LOPD-GDD ya prevén supuestos en los que pueda existir más de un responsable de tratamiento. Así, el artículo 26.1. del RGPD define la corresponsabilidad de tratamientos: “cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento serán considerados corresponsables del tratamiento. Los corresponsables determinaran de modo transparente y de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por el presente Reglamento,…” . La Ley nacional se hace eco y matiza del siguiente tenor: “la determinación de las responsabilidades a las que se refiere el artículo 26.1 del Reglamento (UE) 2016/679 se realizará atendiendo a las actividades que efectivamente desarrolle cada uno de los corresponsables del tratamiento.”
Pero ¿qué ocurre cuando existe colusión entre la figura del encargado y de uno de los responsables?. Es decir, cuando una de las partes presta un servicio a otra y, por tanto, cae en la esfera del encargo, debiendo actuar bajo las directrices del encargado, pero necesariamente (o voluntariamente), a más a más de la prestación de servicio, realiza actividades independientes del encargado y, por ello, se posiciona como un segundo responsable, un corresponsable del tratamiento de datos personales.
En primer lugar de forma resumida, consideramos que automáticamente entra en juego la obligaciones impuestas por el Reglamento y la L.O. para supuesto de corresponsabilidad:
- Se deberán reflejar adecuadamente las funciones y relaciones respectivas de los corresponsables en relación con los interesados, atendiendo las actividades que cada una de los corresponsables desarrolle efectivamente.
- Garantizar el ejercicio de los derechos de los interesados y, en todo caso, los interesados podrán ejercer los derechos que les reconoce el Reglamento frente a y en contra de cada uno de los responsables.
- Se podrá a disposición de los interesados toda la información.
En segundo lugar, necesitamos determinar si somos corresponsables o dos responsables (una fina distinción)
En tercer lugar, es importante que nos planteemos si subsiste y no se desvirtúa la relación de servicio que exista entre las partes.
Para estas dos previsiones, adicionalmente al RGPD – UE, nos podemos ayudar del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión y a la libre circulación de estos datos, y por el que se deroga el Reglamento (CE) 45/2001, y resulta especialmente útil apoyarnos en las guías que emite el Supervisor Europeo de Protección de Datos.
En el siguiente diagrama de flujo, si nos encontramos involucrados en operaciones de tratamiento con terceros, nos ayudará a determinar nuestra situación real respecto del tratamiento y, por ende, de nuestra responsabilidades en el mismo de cara a los interesados.
Para el caso que venimos tratado podemos encontrarnos con dos situaciones:
- Entre las partes se determinan conjuntamente algún tratamiento, medios y propósitos esenciales, mientras que otros tratamientos se determinan por separado
- Las partes involucradas determinan separadamente tratamientos, medios y propósitos esenciales.
Podemos afirmar que en la situación a) se dará un supuesto de corresponsabilidad en determinados aspectos del tratamiento, subsistiendo a nuestro juicio la figura de encargo para el resto. En el caso b) nos encontramos ante un supuesto de doble responsabilidad y aquí, en nuestra opinión, la situación de encargo se difumina.
David García
Abogado – Asesor de Empresas
Derecho Digital; Protección de Datos: Compliance: Protección de activos inmateriales.
La hibridación entre el responsable y encargado – (c) – Soluteca