Volver

Corresponsabilidad en el tratamiento de datos personales

Publicaciones
15-jul-21

Recientemente, el Comité Europeo de Protección de Datos ha actualizado las directrices sobre el concepto de responsable y encargado de tratamiento, en las que también se incluyen otras figuras importantes como la de la corresponsabilidad.

En este sentido, se trata de esta última figura de corresponsabilidad la que, en ocasiones, más confusión genera.  Por ello, debemos partir de la previsión que se hace sobre la corresponsabilidad en el artículo 26.1 de del RGPD: “Cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento serán considerados corresponsables del tratamiento…”, junto con la definición que se hace del responsable del tratamiento en el artículo 4.7, de la que también se puede inferir la corresponsabilidad: “la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento”. 

Con ello, podemos decir de manera general que, según el RGPD, habrá corresponsabilidad siempre que los responsables determinen la finalidad y los medios de manera conjunta. Además, según indican las Directrices 07/2021, para ver si existe esta corresponsabilidad, habrá que evaluar si en esta determinación de los fines y medios, interviene más de una persona. No obstante, esta intervención conjunta, debe entenderse de una manera más amplia puesto que también puede en los términos como: “junto con” o “no solo”.  Cabe mencionar también que a la hora de evaluar la posible existencia de corresponsabilidad, de poco serviría que las partes hubieran establecido contractualmente una relación de responsable-encargado o encargado-encargado, ya que siguiendo con el principio nomen iuris, la relación de corresponsabilidad se basa en la realidad fáctica de cómo actúan la partes frente a un tratamiento y no tanto en lo que haya se refleje contractualmente (“las cosas son lo que son y no lo que las partes dicen que son”).

En esta relación, en la que se debe fijar cómo se aplican los principios del artículo 5 del RPGD, las medidas de seguridad a adoptar o quién notificará las brechas de seguridad, ambas partes deben tener una influencia decisiva sobre el tratamiento que se lleva a cabo y cómo se realiza, puede al mismo tiempo materializarse de distintas formas en la que podemos distinguir las siguientes:

  1. Fruto de una decisión común entre las partes: en este caso, implica una intención común en un sentido más cercano al que se puede extraer de una interpretación literal del artículo 26 del RGPD. 
  2. Fruto de decisiones convergentes: esta interpretación, que debe entenderse sobre los fines y los medios del tratamiento, se produce cuando el tratamiento de datos personales no sería posible sin la participación de la otra u otras partes en los fines o medios del tratamiento, es decir, ambas decisiones se encuentran estrechamente ligadas. En este caso habría una corresponsabilidad de actores que llevan a cabo el tratamiento sobre la base de decisiones convergentes.

También debemos tener en cuenta el caso C-210/16, en el que se indicó que el hecho de no tener acceso a los datos personales no excluye esta corresponsabilidad.  

Sin embargo, a pesar de usar el término corresponsabilidad, ello no implica que los corresponsables asuman efectivamente la misma responsabilidad, sino que tal y como indica el TJUE, las partes implicadas pueden intervenir como corresponsables con distinta responsabilidad en distintas fases del tratamiento, lo que lleva a que el nivel de responsabilidad de cada interviniente puede variar según el caso concreto. Esto se traduce en que las partes serán corresponsables en aquellas operaciones en la que se haya determinado de manera conjunta los fines y medios, y si una de estas partes decide los fines o medios para fines posteriores del tratamiento inicial, esta parte será responsable única de este tratamiento. 

Para evaluar la posible existencia de una relación de corresponsabilidad, en primer lugar, tendremos que analizar si existe una determinación conjunta entre las dos o más partes de la finalidad o si existen fines comunes.  Aun así, a pesar de que los fines no sean exactamente los mismos, según El TJUE también puede ser un indicador de corresponsabilidad cuando dichos fines estén estrechamente vinculados o sean complementarios, o incluso, cuando de esta relación se desprende un beneficio mutuo para las partes como  el Caso Fashion ID, en el que el operador de una web participa en la determinación de los fines y medios cuando incrusta los plug-ins en la web para mejorar la visibilidad de los anuncios en una red social. Aquí, se consideró que las operaciones de tratamiento en cuestión se realizaban en interés económico tanto del operador del sitio web como del proveedor del plug-in.

Si la entidad que participa en el tratamiento no persigue ninguna finalidad propia en relación con la actividad de tratamiento, sino que simplemente recibe una remuneración por los servicios prestados, está actuando como encargada del tratamiento y no como corresponsable. 

Por otro lado, puede ocurrir también que la corresponsabilidad venga de la determinación conjunta de los medios. En este caso, dos o más entidades serían las que ejercen influencia sobre los medios del tratamiento, en las que las partes también se pueden ver involucradas en distintas fases del tratamiento y en diferentes grados. En este caso, también podría ocurrir que una de las partes sea la que proporcione los medios de tratamiento y lo ponga a disposición de las actividades de tratamiento de las otras entidades. De esta manera, las partes que decidan hacer uso de estos medios para que los datos personales puedan ser tratados para un fin determinado también participa en la determinación de los medios del tratamiento. Ello se plantearía especialmente en plataformas u otras infraestructuras que permiten tratar datos personales y que hayan sido configuradas de manera determinada para que sean utilizadas por otras. Es importante subrayar que, en el uso de un sistema o infraestructura de tratamiento, también es importante que la otra parte tenga un margen de configuración importante, ya que, de lo contrario, podríamos estar ante un encargado de tratamiento y no un responsable.

A modo de ejemplo, el TJUE ya ha sostenido que el administrador de una página de fans alojada en Facebook, al definir parámetros basados en su público objetivo y en los objetivos de gestión y promoción de sus actividades, debe considerarse que participa en la determinación de los medios de tratamiento de los datos personales relativos a los visitantes de su página de fans.

Por último, a pesar de que las Directrices del CEPD arrojan bastante luz a la hora de entender en qué consiste la figura de la corresponsabilidad, en la práctica, las mayores dificultades se encuentran a la hora de fijar quién tiene la responsabilidad sobre cada proceso y consecuentemente, como poder informar correctamente a los usuarios sobre ello. Por ello, se requiere de un análisis caso por caso para estudiar cómo interactúan y ver qué papel asumen las partes sobre la determinación de la finalidad y los medios. Sólo de esta manera se pueden establecer los roles que asume cada parte y ver quién lleva a cabo qué tratamiento y cumplir con la exigencia de transparencia del 26.1 del RGPD, para garantizar que se facilita una información correcta a los ciudadanos y garantizar su ejercicio de derechos.

Williams Colacci, Legal Team, Legal Army

Leer más

Posts relacionados que podrían interesarte

Todas nuestras noticias
25-jul-24
Lululemon acusada de “greenwashing”
This is some text inside of a div block.
Leer más
25-jul-24
Meta desvela Llama 3.1, su modelo para competir contra OpenAI y Google
This is some text inside of a div block.
Leer más
25-jul-24
Huawei interpone acciones legales contra Mediatek por la tecnología 5G
This is some text inside of a div block.
Leer más