La corresponsabilidad del tratamiento en materia de protección de datos en el RGPD y en la LOPDGDD

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 30/01/2019

El RGPD en el artículo 26 crea una nueva figura: el Corresponsable del tratamiento.

Esta nueva figura supone la posibilidad de que exista un tratamiento conjunto de datos de carácter personal, cuando dos o más responsables del tratamiento determinen conjuntamente los objetivos ("porqué") y establezcan los medios ("como") del tratamiento necesarios para el mismo (por ejemplo el caso de la recogida de datos realizada por Grupos Empresariales, donde generalmente la empresa principal que ejerce el control sobre sus filiales, determina conjuntamente ls fines o medios de tratamiento).

Los corresponsables del tratamiento deberán concertar un acuerdo, de forma transparente y de mutuo acuerdo, con sus respectivas responsabilidades, en particular en cuanto al ejercicio de los derechos del interesado y a sus respectivas obligaciones de suministro de información, salvo, y en la medida en que, sus responsabilidades respectivas se rijan por el Derecho de la Unión o de los Estados miembros que se les aplique a ellos.

Dicho acuerdo podrá designar un punto de contacto para los interesados, si bien para el ejercicio de los derechos, los interesados podrán ejercitar sus derechos frente a cualquiera de los responsables del tratamiento..

El acuerdo reflejará debidamente las funciones y relaciones respectivas de los corresponsables en relación con los interesados.

Los principales aspectos del acuerdo deberán comunicarse o estar a disposición de a las personas sobre cuyos datos se realice el tratamiento (interesados); y además, entre otras cuestiones, los nombres y datos de contacto de los Corresponsables deberán figurar en el Registro de actividades de tratamiento y en las Consultas previas que se puedan dirigir a una Autoridad de control por parte de un responsable antes de proceder al tratamiento cuando una evaluación de impacto muestre que el tratamiento entrañaría un alto riesgo si no se toman medidas para mitigarlo.

En relación con las posibles responsabilidades respecto a los daños y perjuicios causados a los interesados (en sentido amplio a la luz de la jurisprudencia del Tribunal de Justicia, de tal modo que se respeten plenamente los objetivos del RGPD), el art. 82.4 del RGPD indica que cuando más de un responsable o encargado del tratamiento, o un responsable y un encargado hayan participado en la misma operación de tratamiento y sean responsables de cualquier daño o perjuicio causado por dicho tratamiento, cada responsable o encargado será considerado responsable de todos los daños y perjuicios, a fin de garantizar la indemnización efectiva del interesado. Evidentemente, si el responsable o encargado de tratamiento demuestra su falta de culpabilidad estará exento de responsabilidad. No obstante, si se acumulan en la misma causa de conformidad con el Derecho de los Estados miembros, la indemnización puede prorratearse en función de la responsabilidad de cada responsable o encargado por los daños y perjuicios causados por el tratamiento, siempre que se garantice la indemnización total y efectiva del interesado que sufrió los daños y perjuicios

Por otro lado el apartado 5 del citado artículo 82, establece que cuando un  responsable o encargado haya pagado una sanción o indemnización total por el perjuicio ocasionado, podrá reclamar a los demás responsables o encargados la parte proporcional en función de las responsabilidades asumidas por cada responsable. Se establece por tanto la posibilidad del reclamar a cualquiera de los corresponsables, puesto que deberán responder por la totalidad con independencia de que con posterioridad puedan interponer recurso contra los demás corresponsables por la parte proporcional, asumiendo la indemnización o reparación del daño con independencia de que fuesen o no los infractores directos.

Por este motivo, se deberá realizar un análisis previo del grado de responsabilidad a asumir, que se plasmará en el acuerdo, en los supuestos en los que se traten datos personales de forma conjunta, ya que podrían tener que responder ante cualquier demanda o solicitud de indemnización planteada ante los tribunales competentes por una infracción de la normativa de protección de datos cometida por terceros responsables o corresponsables.

 

La LOPDGDD por su parte, en el artículo 20.2 en cuanto a los sistemas de información crediticia, establece que las entidades que mantengan el sistema y las acreedoras, respecto del tratamiento de los datos referidos a sus deudores, tendrán específicamente la condición de corresponsables del tratamiento, aplicándose por tanto lo recogido en el art. 26 del RGPD. Corresponderá al acreedor garantizar que concurren los requisitos exigidos para la inclusión en el sistema de la deuda, respondiendo de su inexistencia o inexactitud.

Igualmente el artículo 29 puntualiza que la determinación de las responsabilidades del art. 26.1 del RGPD, se realizará atendiendo a las actividades que efectivamente desarrolle cada uno de los corresponsables del tratamiento.

Finalmente con respecto a la falta de formalización del acuerdo, la inexactitud del mismo o la no puesta a disposición de los afectados de los aspectos esenciales del acuerdo formalizado entre corresponsables, la LOPDGDD las considera como infracciones leves y prescibirán al año, al ser consideradas infracciones de carácter meramente formal.

 

No hay versiones para este comentario

Daños y perjuicios
Responsable del tratamiento
Protección de datos
Datos personales
Empresa principal
Agrupaciones de empresas
Autoridad de control de datos
Registro de las actividades de tratamiento
Encargado del tratamiento
Reparación del daño
Tercero responsable
Tratamiento de datos personales
Pertenece al Grupo

Documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados