Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
cferreyros@ferreyros-ferreyros.com
Resumen
La
Comisión Nacional Francesa de Informática y Libertades (CNIL) acaba de publicar
un artículo sobre la correcta identificación de las funciones de cada uno de los actores vinculados al tratamiento de datos personales: el Responsable del
tratamiento, el Encargado del tratamiento y el Co-responsable del tratamiento.
La CNIL precisa que es esencial determinar sus obligaciones y responsabilidades en virtud del
RGPD. Esta clasificación se basa en un análisis de los hechos, no de los
contratos a los cuales se encuntran sujetos, documentádose ello para demostrar su
cumplimiento. La CNIL destaca los criterios y las consecuencias prácticas.
El
Responsable del tratamiento es la persona física o jurídica que determina los
fines y los medios del tratamiento de los datos personales. Su principal
obligación es el cumplimiento de la normativa del RGPD, incluidas las normas de
seguridad.
El
Encargado del tratamiento es una persona física o jurídica que trata datos
personales en nombre del responsable del tratamiento y sigue sus instrucciones,
lo que incluye garantizar la seguridad de los datos e informar a los
interesados en caso de infracción. El encargado del tratamiento no determina
los fines ni los medios del tratamiento; si lo hiciera, sería corresponsable.
El
Co-responsable del tratamiento es la persona física o jurídica que, junto con
el responsable, determina los fines y medios del tratamiento y comparte con él
el cumplimiento del RGPD, incluida la seguridad, para el tratamiento que
realizan conjuntamente, así como la responsabilidad conjunta o subsidiaria.
El presente artículo publicado en francés ha sido traducido al castellano por el suscrito con la ayuda del aplicativo Google Translator, el enlace al texto íntegro se encuentra en: https://cnil.fr/fr/rgpd-comment-bien-identifier-son-role
Para
acceder a normas y estándares europeos similares, las empresas,
organizaciones públicas y privadas que deseen beneficiarse de consultoría,
formación, estudios, evaluaciones o auditorías sobre este tema sírvanse tomar contacto al correo electrónico siguiente: cferreyros@ferreyros-ferreyros.com
_____________________________________________________
Responsable del tratamiento de
datos, subcontratistas: ¿cómo identificar correctamente su papel?
6 de junio de 2025
Antes de procesar datos personales, es
fundamental que las partes interesadas identifiquen sus roles:
responsable, encargado del tratamiento o co-responsable del tratamiento. Esta
distinción determina las obligaciones de cada parte. La CNIL (Comisión Nacional
para la Protección de Datos) recuerda los criterios y sus implicaciones
prácticas.
Toda persona física u organismo debe interrogarse sobre su rol y obligaciones antes de recopilar y de procesar datos personales. Ya sea responsable del procesamiento, individualmente o en conjunto con otras organismos o subcontratistas, las partes deben determinar su calificación caso por caso. La elegibilidad no depende de una decisión contractual, sino de hechos: ¿quién decide qué? ¿Quién ejecuta qué?, etc.
Esta clasificación determina concretamente las obligaciones de cada parte. Identificar claramente su rol permite comprender mejor lo qué debe hacer para cumplir con el RGPD, así como su responsabilidad legal. En caso de duda, es importante documentar el razonamiento detrás de esta clasificación y poder justificarla.
Determinar el papel de los actores involucrados
El Comité Europeo de Protección de Datos (CEPD) ha
identificado ciertos criterios para determinar si una organismo actúa como
responsable del tratamiento, responsable conjunto del tratamiento o encargado
del tratamiento en sus directrices del 7 de julio de 2021 .
El organismo es responsable del tratamiento sí…
El responsable del tratamiento es la persona física o jurídica que determina
tanto los fines como los medios del tratamiento, es decir, quien decide el
“por qué” y el “cómo” del uso de los datos personales.
Cundo hablamos de los medios de tratamiento de datos, debe distinguirse entre los «medios esenciales», decididos por el responsable del tratamiento, y los «medios no esenciales», que pueden dejarse en manos del subcontratista:
· Los medios esenciales se refieren a decisiones claves: qué datos personales se recopilan y utilizan, durante cuánto tiempo, quiénes son los destinatarios, etc.
· Los medios no esenciales, por otro lado, son más bien una cuestión de implementación técnica, como por ejemplo la elección del programa informático (software).
Incluso si un agente elige un tratamiento estándar,
definido de antemano, puede ser considerado responsable del tratamiento de datos
siempre que tome esta decisión en función de sus necesidades y de las características
del dispositivo, de los cuales habrá tenido conocimiento, por ejemplo, en un
proceso de contratación pública. En ciertos casos, el proveedor de servicios no
será simplemente un subcontratista, sino que podrá ser considerado co-responsable
del tratamiento, por ejemplo, si se establece que su función va más allá de la
mera prestación del servicio.
A tener en cuenta:
no es necesario que el responsable del tratamiento tenga acceso efectivo a los
datos para ser considerado responsable del tratamiento.
Ejemplos de responsables del tratamiento de datos:
·
Un desarrollador de aplicaciones es
responsable del tratamiento cuándo él cruzan los datos de diferentes
aplicaciones para ofrecer nuevos servicios.
El organismo es co-responsable del tratamiento sí…
Cuando dos o más responsables del tratamiento
determinan conjuntamente las finalidades y los medios del tratamiento, ellos serán
considerados responsables conjuntos.
Esta responsabilidad conjunta se puede traducir en:
·
una decisión conjunta;
· decisiones separadas pero
complementarias, que resulten en un tratamiento conjunto.
Lo que importa es que el tratamiento no tendría lugar
sin la participación activa de cada parte: el tratamiento de cada parte es
inseparable de aquel del otro, es decir, están estrechamente ligados.
Ejemplos de co-responsables de tratamiento:
·
Varias autoridades locales han decidido
desarrollar conjuntamente una plataforma local común para la apertura de sus
datos, diseñada para promover, mediante un punto de acceso único a la
información pública que poseen, la reutilización de estos datos y la creación de
nuevas ofertas de servicios en la región. En este caso, son co-responsables del
tratamiento.
El organismo es un subcontratista sí…
Un subcontratista es una persona física u organismo que trata
datos personales por la cuenta del responsable del tratamiento. El debe seguir
siempre las instrucciones dadas por este. En ocasiones, podrá elegir los medios
técnicos que considere más adecuados, siempre que cumplan con los objetivos del
responsable.
Por otro lado, si el subcontratista del tratamiento decide por
sí mismo los fines y medios del tratamiento, sin seguir las instrucciones del
responsable, se excede en sus funciones. En este caso, se le considera
responsable del tratamiento y puede ser sancionado.
Bajo ciertas condiciones, el subcontratista podrá
reutilizar los datos que le han sido confiados para sus propios fines.
·
Para profundizar : Subcontratistas: la reutilización de datos confiados
por un responsable del tratamiento
Ejemplos de subcontratistas:
· Una empresa organizadora de una feria
comercial puede considerarse subcontratista cuando lanza una campaña de correo
electrónico de agradecimiento a los candidatos que enviaron sus CV directamente
a una empresa presente en la feria, a petición de esta última y a partir
del archivo que la empresa ha creado con los CV enviados
directamente por los candidatos en su stand. La empresa, por su parte, puede
ser considerada responsable del archivo de todos los candidatos que enviaron
sus CV.
Referencia del documento
Directrices del SEPD
Formalizar los roles y obligaciones de los diferentes
actores
Elegir y supervisar cuidadosamente a sus subcontratistas:
una responsabilidad clave
Antes de confiar el tratamiento de datos personales a un proveedor de servicios, el
responsable del tratamiento debe asegurarse de que este subcontratista ofrece
todas las garantías necesarias para
cumplir con el RGPD (artículo 28 del RGPD).
Esto se refiere en particular a:
·
su experiencia técnica (por ejemplo: en
ciberseguridad, gestión de incidentes);
· su fiabilidad;
·
sus recursos humanos y técnicos;
·
su adhesión a un código
de conducta o certificación GDPR .
Se requiere un contrato escrito, u otro documento legal,
entre el responsable y el encargado del tratamiento. Este contrato debe ser
específico, claro y vinculante. Puede negociarse libremente o basarse en cláusulas contractuales estándar .
El contrato no debe limitarse a reproducir el RGPD.
Debe explicar con precisión cómo se implementarán las obligaciones, incluido el
nivel de seguridad requerido para el tratamiento de datos personales.
Nota :
Incluso en caso de desequilibrio de poder (un pequeño responsable frente a un
gran proveedor de servicios), el responsable no puede eximirse de sus
obligaciones con el RGPD. Debe verificar que las cláusulas cumplan y, si acepta
el servicio, sigue siendo responsable del cumplimiento de la normativa.
Gestores conjuntos: definir claramente quién hace qué
Los co-responsables del tratamiento deben definir
conjuntamente, por escrito y de forma transparente, la distribución de las
obligaciones que les impone el RGPD (artículo 26 del RGPD). En particular,
deben definir:
·
quién responde a las solicitudes de los
interesados y les informa;
·
¿Quién gestiona la seguridad, las fugas de
datos o los análisis de impacto de la protección de datos, etc.?
Esta distribución no disminuye la responsabilidad de
cada parte. Sobre todo, garantiza una buena coordinación y una mejor protección
de las personas.
El contrato debe ponerse a su disposición para
garantizar una transparencia total. Incluso si el acuerdo divide las funciones,
los interesados pueden ejercer sus derechos ante cualquier
corresponsable del tratamiento.
Nota :
Compartir la responsabilidad del tratamiento no implica que todos sean
igualmente responsables. Las partes co-responsables pueden intervenir en
diferentes etapas del tratamiento de datos y con distintos grados de
responsabilidad. Por lo tanto, su nivel de responsabilidad debe evaluarse en
función de las circunstancias específicas del caso y especificarse en el
contrato.
¿Cómo cumplir?
Determinar
el papel de los actores involucrados en el tratamiento de datos personales ,
a raíz de un análisis concreto de los métodos de creación e implementación del
tratamiento.
Rastrear ,
en la documentación interna que sustenta, la reflexión realizada y la
justificación utilizada para determinar la calificación de los
actores.
Establecer
un contrato o cualquier otro documento legal con los subcontratistas y
controladores conjuntos con el fin de aclarar y determinar los roles y
obligaciones de cada uno.
Informar a
los interesados de la identidad del responsable del
tratamiento de datos.
Para
recibir apoyo en el análisis del estatus del actor en cuestión, hable con
el responsable de protección de datos de la organismo , si se
ha designado uno.
Pregunte
a sus subcontratistas si tienen certificación o si se adhieren
a un código de conducta .
¿Cuál es el papel de la CNIL en materia de
cualificación?
La cualificación de las partes interesadas es un paso
esencial para garantizar el cumplimiento efectivo del RGPD. De acuerdo con el
principio de rendición de cuentas, corresponde en primer lugar a las propias
partes interesadas identificar sus respectivas funciones. Para apoyar este
proceso, la CNIL ofrece ejemplos concretos sectoriales en su sitio web , lo que permite a las partes
interesadas comprender mejor los criterios a considerar para una correcta
cualificación.
La cualificación no es una simple formalidad:
determina las obligaciones legales de cada actor, ya sea por ejemplo llevar un
registro, gestionar a los subcontratistas, informar a las personas o responder
a sus derechos ( véase la tabla en la guía de contratación de la CNIL ).
En caso de auditoría, la CNIL no está vinculada por
las cualificaciones contractuales establecidas entre las partes; analiza las
responsabilidades de los actores a la luz de las justificaciones aportadas y su
influencia en el tratamiento de datos. Por lo tanto, puede reclasificar las
funciones de los actores si considera que la cualificación establecida no
refleja la realidad, con posibles consecuencias en términos de sanciones. Esto
justifica la importancia crucial de una cualificación rigurosa y documentada
desde la fase de diseño de una operación de tratamiento.
Texto de referencia
Para profundizar
·
Trabajar
con un subcontratista
Texto de referencia
Texto de referencia
·
El Reglamento General de Protección de Datos
·
#Responsable del tratamiento de
datos #Subcontratistas #Calificación jurídica de los
actores
_____________________