✔ Cuando analizamos el tratamiento de datos que realiza una empresa e intentamos concretar si actúa como Responsable del Tratamiento o como Encargado de Tratamiento, podemos llegar a la conclusión de que no se corresponde con ninguna de estas dos figuras, sino que nos encontramos ante un supuesto de Corresponsabilidad en el que la organización trata los datos personales de forma conjunta – y en igualdad de condiciones – con otra entidad.
En el post de hoy explicaremos: (i) qué es la Corresponsabilidad y (ii) qué contenido debe tener el contrato corresponsables RGPD.
¿Qué es la corresponsabilidad?
En protección de datos, una organización puede actuar de tres maneras: (i) ser Responsable del Tratamiento, (ii) Encargado del Tratamiento o (iii) Corresponsable del Tratamiento.
Antes de explicar la Corresponsabilidad, recordemos la definición de las otras dos figuras:
▸ Responsable del Tratamiento: Persona física o jurídica, autoridad pública, servicio u otro organismo, que determina la finalidad, uso y contenido del tratamiento.
Ej. Todas las organizaciones serán, por lo general, responsables de tratamiento porque, en el desarrollo de su actividad, tratan o acceden a datos de carácter personal sobre los que deciden acerca de la finalidad, contenido y uso de su tratamiento (datos de carácter personal de sus empleados).
▸ Encargado del Tratamiento: Persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable.
Ej. Empresas que prestan el servicio de alojamiento de página Web a otras organizaciones (empresas de hosting, empresas que se encargan de gestionar la contabilidad de otras empresas, etc.).
▸ Por su parte, la Corresponsabilidad se produce cuando dos o más responsables determinan conjuntamente los objetivos y los medios del tratamiento. En tal caso, ambos serán considerados “Corresponsables del Tratamiento”.
Ej. Se podría recurrir a la figura de la “corresponsabilidad” cuando un grupo de empresas, determinan conjuntamente (sin que ninguna ejerza presión sobre la otra), los objetivos y medios del tratamiento de los datos de clientes.
▸ Puede acceder a más información sobre la figura del Responsable, Encargado y Corresponsable en:
-
-
-
- Directrices 07/2020 sobre los conceptos de Responsable y Encargado” (“Guidelines 07/2020 on the concepts of controller and processor in the GDPR”, versión solo disponible en inglés) a través del siguiente link: https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202007_controllerprocessor_en.pdf
- Diagrama de flujo “¿Realizas operaciones de tratamiento con uno o varios terceros?: ¿Eres Encargado, Responsable o Corresponsable del Tratamiento? (“You are involved in a processing operation with one or more third parties: are you a processor, a controller, or a joint controller? Versión solo disponible en inglés) a través del siguiente link: https://edps.europa.eu/sites/default/files/publication/19-11-19_flowchart_controllership_en.pdf
-
-
¿Cuál debe ser el contenido del contrato corresponsables RGPD?
De conformidad con el artículo 26 RGPD, para regular esta corresponsabilidad, los corresponsables deberán firmar un “contrato corresponsable RGPD” donde determinen de modo transparente y de mutuo acuerdo, las funciones y relaciones respectivas con los interesados, debiendo poner a disposición de los mismos los contenidos esenciales de este contrato corresponsables RGPD (por ej. a través de la página web, en las oficinas y/o instalaciones físicas, etc.).
En el acuerdo de corresponsabilidad, los corresponsables deberán concretar sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por el RGPD, en particular, en cuanto al ejercicio de los derechos del interesado y a las obligaciones de suministro de información (“deber de información”, artículo 12 y 13 RGPD). Con independencia de lo que se haya acordado respecto a la gestión de solicitudes de ejercicio de derechos, los interesados podrán ejercer los derechos frente a, y en contra de, cada uno de los responsables.
Conclusiones
Las conclusiones que podemos extraer del presente post sobre contrato corresponsables RGPD son las siguientes:
-
- Una organización puede actuar como Responsable, Encargado o Corresponsable del Tratamiento.
- Actuará como Corresponsable cuando determine conjuntamente los objetivos y medios del tratamiento con otra organización.
- En tal caso, ambos corresponsables, deberán suscribir un contrato que contemple, al menos, el contenido mínimo del artículo 26 RGPD.
⚖️ Estimado lector, si tiene alguna duda relacionada con la «protección de datos», no dude en ponerse en contacto con nosotros utilizando nuestro formulario corporativo.