Guidelines 07/2020 de la EDPB sobre els conceptes de responsables del tractament i encarregat del tractament d'acord amb el Reglament General de Protecció de Dades (RGPD)
Guidelines 07/2020 de la EDPB sobre els conceptes de responsables del tractament i encarregat del tractament d'acord amb el Reglament General de Protecció de Dades (RGPD)
Recentment el Comitè Europeu de Protecció de Dades (EDPB), que assumeix un rol de desenvolupament de les disposicions normatives referents a protecció de dades personals, ha llançat un document que ve a explicar i exemplificar els conceptes de responsable del tractament, encarregat del tractament i corresponsables del tractament.
Aquests tres rols són fonamentals per una correcta aplicació del Reglament General de Protecció de Dades (RGDP) donat que aquestes tres figures venen a determinar el règim de responsabilitat i compliment de requisits normatius en relació als tractaments de dades i també vers els drets dels interessats de les dades tractades. Així doncs, és rellevant que les organitzacions coneguin bé aquest tres conceptes per tal de poder identificar quina figura assumeixen en cada tractament de dades que realitzin en l’exercici de la seva tasca habitual. D’aquest manera, la Guia de la EDPB pretén enquadrar els tres conceptes de forma diferenciada i aportar criteris comuns per a la seva identificació vers els tractaments realitzats a tot l’Espai Econòmic Europeu.
Responsable del tractament (arts. 4. 7) i 24 RGPD):
Ha de ser entès com aquella persona física o jurídica que decideix com es realitzen les diferents activitats de tractament, això és, com es tracten les dades i amb quina finalitat així com decidir sobre les mesures tècniques i organitzatives dels tractaments que realitza per tal d’assegurar unes condicions de seguretat adequades a cada tractament.
Pel que fa a la denominació responsable del tractament, normalment fa menció a l’organització de forma àmplia i no als directius o gerents de la mateixa. Té la consideració de responsable del tractament la persona jurídica que constitueix l’organització, a excepció d’aquells professionals sanitaris autònoms qui exerceixen la professió per compte pròpia.
Pel que fa la gestió dels tractaments de dades, tot i que el responsable és qui pren les decisions de dades a tractar, com es tractaran i amb quines finalitats, és cert que l’encarregat de tractament por participar també en aquesta gestió. És a dir, per aquells tractaments que el responsable encarrega a un encarregat del tractament, aquest també pot determinar aspectes més pràctics sobre les mesures tècniques i organitzatives en que es realitza el tractament donat el possible major grau d’expertesa d’aquest vers el tractaments de dades que realitza per compte del responsable.
Corresponsable del tractament (art. 26 RGPD):
La figura del corresponsable del tractament entra en joc quan més d’un actor està implicat en el tractament de dades personals. Així doncs, es dóna quan dues o més organitzacions determinen els tractaments de dades personals i llurs finalitats que es portaran a terme per aquestes organitzacions. La determinació d’aquests extrems pot ser tant comú, com que la participació en la presa de decisions tot i no ser conjunta no es pogués dur a terme sense l’efectiva participació de cada responsable del tractament. Tal i com es veurà més endavant, serà rellevant en aquest punt els acords adoptats entre els responsables per tal d’establir les responsabilitats de cada responsable vers els interessats i les diferents exigències normatives a complir en tot tractament de dades personals.
Encarregat del tractament (arts. 4.8) i 28 RGPD):
L’encarregat de tractament és aquella persona, física o jurídica, que tracta dades per compte d’un responsable del tractament. Per ser considerat encarregat, aquest ha de ser independent de l’entitat jurídica del responsable del tractament i tractar les dades per compte d’aquest, és a dir, no pot estar integrat dins la figura del responsable. D’aquesta manera, l’encarregat tracta dades que es troben dins l’esfera de responsabilitat del responsable i els tractaments realitzats per l’encarregat han de venir motivats per les instruccions del responsable, ja que està tractant dades per compte d’aquest.
D’altra banda, el fet d’actuar sota les instruccions del responsable no treu que l’encarregat gaudeixi de cert poder decisori a l’hora de determinar com tractar les dades per acomplir el interessos del responsable del tractament, podent decidir quines són les millors mesures tècniques i organitzatives a aplicar sobre els tractaments realitzats per compte del responsable. Aquest marge decisori atribuït a l’encarregat ha de respectar sempre el límit que marqui el responsable en les seves instruccions en quant a tractaments a realitzar i finalitats dels mateixos no podent l’encarregat excedir-se dels mateixos i prendre aquestes decisions desobeint al responsable.
En cas de que l’encarregat del tractament infringeixi aquestes instruccions i assumeixi més decisions de les que permet el responsable, l’encarregat passaria a assumir la responsabilitat plena dels tractaments en que s’ha excedit i passaria a ser considerat responsable del tractament. A més, aquesta extralimitació en les seves funcions, podria comportar la imposició se sancions d’acord amb les previsions contingudes a l’RGPD i demés normativa aplicable.
Tercer sense accés a dades:
D’acord amb les estipulacions de l’RGPD al respecte d’aquesta figura on es realitza una defunció negativa, en el sentit de que no es defineix directament qui és aquest tercer sinó que es donen elements per a identificar-lo de forma oberta. Així doncs, d’acord amb la normativa, aquest tercer serà aquella persona, física o jurídica, que no sent responsable del tractament, l’encarregat del tractament, l’interessat o un autoritzat per a tractar dades per compte del responsable o l’encarregat; qui presta un servei al responsable o encarregat del tractament però que per a prestar-lo en principi no haurà d’accedir a dades personals. És a dir, aquest tercer serà aquella persona qui presta un servei al responsable o a l’encarregat però que, per la naturalesa del servei, aquest tercer no necessita accedir a dades personals que es troben sota l’esfera de responsabilitat del responsable o l’encarregat per a prestar-lo.
Donada la baixa incidència que aquest tercer pot tenir potencialment sobre les dades que tracta el responsable o l’encarregat, en aquests casos es procedirà a fer signar a aquest tercer un compromís de confidencialitat per a protegir aquelles dades a les que el tercer pugui tenir accés al prestar els seus serveis. Normalment, aquests tercers tot i no haver d’accedir a dades personals pera prestar el seu servei, sí han d’accedir, per exemple, a les instal·lacions del responsable o l’encarregat del tractament, i és en aquest moment on el tercer podria tenir accés accidental a dades personals en cas de, per exemple, descobrir accidentalment uns documents que contenen dades personals.
Solen ser exemples utilitzats per a fer comprensible aquesta figura, els serveis prestats per a certes organitzacions com neteja o manteniment. Que, ja siguin externs o interns, s’entén que no necessiten tractar dades personals per a fer la seva tasca però que davant un eventual descobriment accidental de dades, se’ls fa signar un compromís de guardar secret sobre aquelles informacions a que tinguin accés mentre presten el seu servei.
Relacions entre responsable i encarregat del tractament:
Pel que fa a les relacions entres les figures del responsable i l’encarregat del tractament cal destacar una sèrie de formalitats i consideracions que marca la legislació a tenir en compte.
Des de el moment inicial del a designació, el responsable del tractament té l’obligació d’escollir aquells encarregat que brindi garanties adequades per assegurar que l’encarregat podrà implementar les mesures tècniques i organitzatives sobre els tractaments que realitzi de manera que aquests compleixin amb els requeriments de la legislació aplicable. Per a realitzar aquesta elecció, el responsable podrà fundar la seva decisió en arguments com: el nivell d’expertesa de l’encarregat en relació als tractaments a realitzar; la fiabilitat acreditada de l’encarregat en l’exercici de la seva tasca; els recursos de què disposa l’encarregat per a prestar els seus serveis; o l’adhesió d’aquest encarregat a codis de conducta o altres mecanismes de certificació d’estàndards correctes a nivell de compliment en matèria de protecció de dades.
Un altre punt a destacar més el fet de que la relació entre responsable i encarregat del tractament s’ha de formalitzar mitjançant un acord documentat (contracte) que ha de estar disponible tant física com electrònicament. Aquest contracte s’haurà de formalitzar per a cada tractament de dades que l’encarregat realitzi per compte del responsable. Pel que fa al contingut d’aquest document, l’RGPD ha vingut a fixar un contingut mínim, però alhora s’adverteix que l’ús d’un clausulat genèric no és suficient per a complir amb l’exigència legal, sinó que aquest contracte haurà de ser específic a la realitat de cada tractament realitzat per l’encarregat del tractament.
Relacions entre corresponsables del tractament:
Quan dos responsables del tractament decideixen executar un o varis tractaments de manera conjunta, participant ambdós en les decisions de com dur a terme el tractament, s’estableix una relació de corresponsabilitat. En el marc d’aquestes relacions s’han d’abordar vàries consideracions i determinar certs extrems que regulin el marc de responsabilitat de cada responsable respecte del tractament conjunt.
Els corresponsables estan obligats a acordar i determinar les seves responsabilitats en relació a la forma en que s’executarà el tractament, repartint o fixant quina part assumirà cadascuna des les diferents obligacions que marca la normativa. Aquesta negociació ha de ser transparent per tal que cap extrem exigit per la normativa quedi descobert i no sigui assumit per cap dels corresponsables intervinents. A mode d’enumeració enunciativa d’alguns punts a abordar pels corresponsables abans de realitzar els tractaments, podríem destacar els següents:
- Quina part es responsabilitza de complir amb els drets d’informació.
- Qui s’encarrega de gestionar i respondre l’exercici de drets dels interessats. No obstant, cal tenir en compte que els interessats podran dirigir la seva sol·licitud a qualsevol responsable i, aquesta sol·licitud, no podrà ser desestimada en base a haverse dirigit al responsable que no te assumides les funcions d’atenció d’exercici de drets.
Qui comunica eventuals violacions de seguretat, tant a interessats com a autoritat de control competent.
En qualsevol cas, tot i que els corresponsables hauran d’acordar aquests diferents punts pel que fa a l’assumpció de responsabilitats i tasques vers els tractaments realitzats conjuntament, ambdós responsables seguiran sent plenament responsables pels tractaments efectuats en mode de coresponsabilitat tant front els interessats com front les autoritats de control. Així doncs, cada corresponsable. a més de l’obligació específica que li toqui acomplir vers el tractament, també haurà d’assegurar-se que l’altre corresponsable compleix amb les exigències legalment fixades. D’aquesta manera, al tenir un règim de responsabilitat solidaria front a tercers, cada corresponsable a l’hora de decidir emprendre tractaments conjuntament haurà de valorar certs aspectes de l’altre part com: una correcta aplicació dels principis de protecció de dades en la realització dels tractaments; un correcte ús de les bases de legitimació dels tractaments; aplicació de mesures de seguretat adequades; un adequat ús de encarregats del tractament així com un correcte ús de les dades d’acord amb la finalitat que a la qual es varen començar a tractar.
La vinculació entre corresponsables, a efectes de transparència i correcta assumpció de responsabilitats, s’ha de documentar en un contracte o acord equivalent. Donat que l’acord entre corresponsables ha d’estar correctament prefixat ii a disposició de possibles interessats que vulguin tenir-hi accés o davant del requeriment d’una Autoritat de Control.
Per últim és també rellevant el fet que, tal i com s’ha comentat anteriorment, a banda de tot el que hagin acordat i documentat els corresponsables del tractament, els interessats podran dirigir-se a qualsevol dels corresponsables per tal d’exercir els seus drets. En la mateixa línia, les autoritats de control competent, podran dirigir-se a qualsevols des corresponsables en l’execució de les tasques d’inspecció d’aquestes.