III Insight del Club del DPD – 2024
El pasado 23 de septiembre tuvo lugar el III Insight del Club del DPD de...
0Una de las cuestiones vitales cuando hablamos de proteger datos de carácter personal es la correcta definición de las responsabilidades que deben asumir cada una de las partes autorizadas para su tratamiento, ya que, estar en uno u otro supuesto, generará obligaciones diferentes.
Quizás, de las responsabilidades principales que se definen en el RGPD, la definición del rol del DPD esté perfectamente delimitada y, de hecho, esta figura ha sido objeto de numerosos artículos en donde se han analizado rigurosamente cada una de las características del mismo. No obstante, en la práctica, debido a la gran casuística existente, a legislaciones sectoriales y al gran volumen de flujo de datos, entrante y saliente, de cada Responsable del Tratamiento, en ocasiones, resulta difícil diferenciar cuando estamos ante un acceso a datos, o ante una cesión, siendo complicado atribuir cada rol mencionado.
Por un lado, ya con anterioridad a la entrada de esta nueva legislación europea, esta era una de las cuestiones ampliamente debatidas. Debido a este hecho, en algunos informes de la Agencia Española de Protección de Datos o “AEPD” se pueden encontrar argumentos que nos ayudan a delimitar, en cada caso concreto, esta diferenciación. En este sentido, especialmente ilustrativo es el Informe Jurídico 0290/2008, en donde se configuraba al Encargado como una parte externa que no tiene control sobre los tratamientos, sino que simplemente trata información para finalidades del Responsable. La característica clave sería que el Encargado debería limitarse a cumplir con las instrucciones del Responsable.
No obstante, por otro lado, a parte de la producción jurisprudencial o doctrinal al respecto que se pudiera consultar, también se debe tener en cuenta el Dictamen 1/2010 del Grupo de Trabajo del Artículo 29 sobre conceptos del Responsable del Tratamiento y el Encargado del Tratamiento. En este documento, después de un análisis pormenorizado del concepto, se refuerza la necesidad del tratamiento de datos por cuenta del Responsable como característica principal que debe tener un Encargado, y establece, como principal punto de distinción para determinar la posición de Responsable, el poder de decisión sobre las finalidades para las que se destinan los datos.
En consecuencia, como ha argumentado la AEPD en alguno de sus informes, “para determinar si nos encontramos en presencia de un Encargado del Tratamiento deberá analizarse si su actividad se encuentra limitada a la mera prestación de un servicio al responsable, sin generarse ningún vínculo entre el afectado y el supuesto encargado. Ello sucederá si la empresa externa no puede en modo alguno decidir sobre el contenido, finalidad y uso del tratamiento y siempre que su actividad no le reporte otro beneficio que el derivado de la prestación de servicios propiamente dicha, sin utilizar los ficheros generados en modo alguno en su provecho, puesto que en ese caso pasaría a ser responsable del fichero”. No será considerado, por tanto, como un acceso a datos cuando ese vínculo de poder se rompe, y la tercera empresa que trata datos destina, para otras finalidades, los datos obtenidos. De cualquier forma, el propio Grupo de Trabajo del Artículo 29, en sus conclusiones, reconoce que, aun habiéndose esforzado en la explicación de estos conceptos, será preciso atender a las circunstancias del caso concreto para una correcta definición de responsabilidades y que esta asignación de roles o responsabilidades seguirá planteando dificultades en la práctica, lo que, sin duda, podrá justificar un análisis detallado para lograr una solución adecuada.
Si quieres tener controlado en tu día a día toda la documentación y los procesos necesarios para ejercer tu labor como DPD, completa tu formación con el curso «el día a día del DPD«.
El equipo Govertis