✔ Como hemos analizado anteriormente, el Comité Europeo de Protección de Datos ha actualizado las directrices sobre el concepto de Responsable y Encargado de tratamiento y en la última parte de la guía hace referencia a la figura de la corresponsabilidad y las consecuencias del control conjunto. Es importae determinar de forma transparente las respectivas responsabilidades de los corresponsables para el cumplimiento de las obligaciones en virtud del RGPD.
La corresponsabilidad está regulada en el artículo 26.1 del RGPD: “Cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento serán considerados corresponsables del tratamiento…”. Con ello, podemos decir de manera general que, según el RGPD, habrá corresponsabilidad siempre que los responsables determinen la finalidad y los medios de manera conjunta. Además, según indican las Directrices 07/2021, para ver si existe esta corresponsabilidad, habrá que evaluar si en esta determinación de los fines y medios, interviene más de una persona.
Nuevamente, para evaluar la posible existencia de corresponsabilidad, de poco sirve que las partes hubieran establecido contractualmente una relación de responsable-encargado o encargado-encargado, ya que siguiendo con el principio nomen iuris, la relación de corresponsabilidad se basa en la realidad fáctica de cómo actúan la partes frente a un tratamiento y no tanto en lo que haya se refleje contractualmente (“las cosas son lo que son y no lo que las partes dicen que son”).
Así, los responsables conjuntos deben establecer “quién hace qué” decidiendo entre ellos quién tendrá que llevar a cabo qué tareas para asegurarse de que el tratamiento cumple con las obligaciones aplicables en virtud del RGPD en relación con el tratamiento conjunto en cuestión. En otras palabras, debe hacerse un reparto de responsabilidades en materia de cumplimiento. Esto no excluye el hecho de que la legislación de la UE o de los Estados miembros pueda establecer ya determinadas responsabilidades de cada responsable conjunto. El objetivo de estas normas es garantizar que, cuando participen múltiples agentes, especialmente en entornos complejos de tratamiento de datos, la responsabilidad del cumplimiento de las normas de protección de datos se asigne claramente para evitar que la protección de los datos personales se reduzca, o que un conflicto de competencias dé lugar a lagunas en las que el único perjudicado es el interesado. En este sentido, debe quedar claro que todas las responsabilidades deben asignarse según las circunstancias de hecho para lograr un acuerdo operativo.
Respecto del interesado, la responsabilidad es conjunta y las situaciones fácticas que se presenten, no pueden servir para eximir a ninguna de las partes de sus obligaciones en virtud del RGPD. El interesado puede ponerse en contacto con cualquiera de los corresponsables del tratamiento de acuerdo con el artículo 26, apartado 3, del RGPD.
No obstante, entre las partes deben definir quién se encargará respectivamente de responder a las solicitudes cuando los interesados ejerzan sus derechos otorgados por el RGPD y de proporcionarles información a los mismos, tal y como exigen los artículos 13 y 14 del RGPD. Esto solo se refiere a definir en su relación interna cuál de las partes está obligada a responder a las solicitudes de los interesados. Si bien puede existir un cierto grado de flexibilidad a la hora de distribuir y asignar las obligaciones entre ellos, siempre se debe garantizar el pleno cumplimiento del RGPD con respecto al tratamiento. El reparto debe tener en cuenta factores como quién es competente y está en condiciones de garantizar los derechos de los interesados, así como para cumplir con las obligaciones pertinentes en virtud del RGPD. El EDPB recomienda documentar los factores pertinentes y el análisis interno realizado para asignar las diferentes obligaciones. Este análisis forma parte de la documentación en virtud del principio de responsabilidad proactiva.
Como quedo demostrado, la corresponsabilidad no implica que las obligaciones se distribuyan por igual entre los corresponsables y el TJUE lo confirma, “la existencia de una responsabilidad conjunta no implica necesariamente una responsabilidad igual responsabilidad de los distintos operadores que participan en el tratamiento de datos personales”. Sin embargo, puede haber casos en los que no puedan repartirse todas las obligaciones y todos los corresponsables deban cumplir con los mismos requisitos derivados del RGPD, teniendo en cuenta la naturaleza y el contexto del tratamiento conjunto. Por ejemplo, los corresponsables que utilizan herramientas o sistemas de tratamiento de datos compartidos ambos deben garantizar el cumplimiento, en particular, del principio de limitación de la finalidad y aplicar medidas adecuadas para garantizar la seguridad de los datos personales tratados con las herramientas compartidas. Asimismo, se debe tener especial atención a las limitaciones del uso de datos personales para otro fin por parte de uno de los de los responsables conjuntos. Siempre debe existir una base jurídica para el tratamiento y lo que puede pasar en el contexto de la corresponsabilidad, es que los datos personales son compartidos por un responsable del tratamiento a otro. Como cuestión de responsabilidad, cada responsable del tratamiento tiene la obligación de garantizar que los datos no sean tratados de forma incompatible con los fines para los que fueron recogidos originalmente por el responsable que comparte los datos.
En todos los casos se requiere de un análisis caso por caso para estudiar cómo interactúan y ver qué papel asumen las partes sobre la determinación de la finalidad y los medios. Solo de esta manera se pueden establecer los roles que asume cada parte y ver quién lleva a cabo qué tratamiento y cumplir con la exigencia de transparencia del 26.1 del RGPD, para garantizar que se facilita una información correcta a los ciudadanos y garantizar su ejercicio de derechos.