Nueva guía del Comité Europeo de Protección de Datos sobre (co)responsable y encargado bajo el RGPD

Aunque los conceptos de responsable y encargado del tratamiento han sido ampliamente estudiados y analizados en el pasado, el Comité Europeo de Protección de Datos ha publicado recientemente una guía en la que, además de repasar estas figuras bajo el RGPD y facilitar un gran número de útiles ejemplos, se centra en la figura del momento: la corresponsabilidad.

La Guía 7/2020 sobre los conceptos de responsable y encargado en el RGPD (la “Guía”), en fase de consulta pública hasta el 19 de octubre de 2020, analiza en detalle los conceptos de responsable, encargado y corresponsable del tratamiento y todo lo que conlleva cada uno de estos supuestos.  A continuación desgranaremos algunos de los puntos más relevantes que detalla el CEPD en relación con los conceptos y responsabilidades que conllevan estos roles y, en concreto, nos centraremos en la figura del corresponsable, que día tras día va tomando mayor protagonismo.

Responsable y Encargado del tratamiento:

A este respecto, la Guía no resulta especialmente innovadora. Recuerda los conceptos de responsable y encargado del tratamiento bajo el RGPD aunque no sean conceptos nuevos.

Con respecto al “mundo del encargo del tratamiento”,  la Guía se detiene a explicar en detalle: (i) las distintas obligaciones que surgen en la relación responsable-encargado del tratamiento (p.ej., diligencia a la hora de seleccionar al encargado, firma de un contrato por escrito, etc.); y (ii) el contenido que debe tener el contrato (ex. art. 28 RGPD) que regule la relación entre ambas partes desde una perspectiva de protección de datos.

La gran mayoría de las autoridades de protección de datos de la UE han ido publicando guías y ejemplos de contratos de encargo de tratamiento (entre otras, la AEPD española). Sin embargo, es interesante revisar cada uno de los apartados del art. 28.2 RGPD para replantear alguna de las cláusulas “proforma” que se usan a menudo en los contratos de encargo. La Guía aclara el grado de detalle que algunas cláusulas deben prever, de forma que el contrato de encargo del tratamiento no termine por ser un embellecido copy/paste del art. 28 RGPD (p.ej., en lo relativo a la subcontratación, medidas de seguridad, etc.).

Corresponsable del tratamiento:

Para concluir,  y como es habitual, a lo largo de la Guía se incluyen una serie de ejemplos  bastante útiles –alguno solo acude a la Guía por ellos– que tratan escenarios que pueden resultar controvertidos. Además, se adjuntan como anexos unos diagramas que sirven de guía (valga la redundancia) para determinar cuándo nos encontramos ante un supuesto de responsable, encargado o corresponsable del tratamiento.

 

 

Escrito por Santiago de Ampuero, Víctor Mella y Graciela Martín

Contacts
Gonzalo F. Gallego
Partner
Madrid
Santiago de Ampuero
Senior Associate
Madrid
Victor Mella
Associate
Madrid
Graciela Martin
Junior Associate
Madrid

 

This website is operated by Hogan Lovells Solutions Limited, whose registered office is at 21 Holborn Viaduct, London, United Kingdom, EC1A 2DY. Hogan Lovells Solutions Limited is a wholly-owned subsidiary of Hogan Lovells International LLP but is not itself a law firm. For further details of Hogan Lovells Solutions Limited and the international legal practice that comprises Hogan Lovells International LLP, Hogan Lovells US LLP and their affiliated businesses ("Hogan Lovells"), please see our Legal Notices page. © 2021 Hogan Lovells.

Attorney advertising. Prior results do not guarantee a similar outcome.