CEPD: Dictamen sobre obligaciones derivadas de recurrir a encargados y subencargados

Comentario de Manuel Castilleja 23 de octubre de 2024

DICTAMEN 22/2024 SOBRE DETERMINADAS OBLIGACIONES DERIVADAS DE RECURRIR A ENCARGADOS Y SUBENCARGADOS DEL TRATAMIENTO

 

Acceso al Dictamen en la página del CEPD: https://www.edpb.europa.eu/news/news/2024/edpb-adopts-opinion-processors-guidelines-legitimate-interest-statement-draft_en

 

El Comité Europeo de Protección de Datos (CEPD/EDPB) a solicitud de la Autoridad de Control danesa (Datatilsynet), en virtud del art. 64.2 RGPD, ha emitido un dictamen con su opinión sobre las obligaciones de los responsables del tratamiento en la contratación de encargados y subencargados del tratamiento en virtud de del RGPD.

El dictamen se refiere a situaciones en las que los responsables del tratamiento dependen de uno o varios encargados y subencargados del tratamiento.

Para dar respuesta a las preguntas planteadas por Datatilsynet, aborda varias cuestiones sobre la interpretación de determinadas obligaciones en estos casos, así como sobre la redacción de los contratos entre responsables y encargados del tratamiento, que se derivan en particular del art.28 RGPD. Estas son:

1. Identificación de los intervinientes en la cadena de tratamiento:

  • La información sobre la identidad (nombre, dirección, persona de contacto) de todos los encargados y subencargados intervinientes en la cadena de tratamiento, para poder cumplir mejor con sus obligaciones en virtud del artículo 28 del RGPD:
    • Los responsables deben tenerla a su disposición en todo momento
    • Los encargados tienen la obligación de facilitarla al responsable y mantenerla actualizada en todo momento.
  • El responsable debe informar al interesado sobre los destinatarios o categorías de destinatarios de sus datos (art. 13/14.1.e RGPD), y los encargados del tratamiento a los que se transfieren datos se consideran “destinatarios”, por tanto se debe informar sobre los encargados o categorías de encargados

2. Verificación y documentación por parte del responsable de la suficiencia de las garantías aportadas por todos los encargados de la cadena de tratamiento:

  • La verificación de que los encargados y subencargados ofrecen garantías suficientes para cumplir con el RGPD, debe llevarse a cabo independientemente del nivel de riesgo que suponga el tratamiento para los interesados, por lo que el alcance de dicha verificación puede variar, en función de dichos riesgos.
  • Las garantías ofrecidas por los encargados y subencargados deben ser acreditables, deben documentarse, mantenerse y estar disponibles para las autoridades de control.
  • Si bien el encargado inicial debe asegurarse de proponer subencargados con garantías suficientes, la decisión y la responsabilidad última sobre la contratación de un subencargado específico recaen en el responsable.

3. Verificación del contrato entre el encargado inicial y los encargados adicionales:

  • El responsable no tiene la obligación de solicitar sistemáticamente los contratos de subencargado para comprobar si las obligaciones en materia de protección de datos se han transmitido, dependerá de cada caso, y será el responsable el que evalúe si es necesario solicitarlos.
  • No es necesario que el contrato entre subencargados y encargados sea idéntico al contrato inicial entre el responsable y el encargado, pero sí debe garantizar que las obligaciones sustantivas sean las mismas a lo largo de toda la cadena del tratamiento.

4. Transferencias en la cadena de tratamiento:

  • Cuando se produzcan transferencias internacionales el responsable sigue siendo responsable de garantizar que los datos transferidos a subencargados en terceros países cuenten con alguna de las habilitaciones establecidas en el capítulo V del RGPD.

5. Sobre la interpretación del art. 28.3.a) RGPD:

  • La excepción prevista en el art. 28.3.a) RGPD “a menos que así lo exija la legislación de la Unión o del Estado miembro a la que esté sujeto el encargado” es muy recomendable, pero no estrictamente obligatorio para cumplir dicho artículo. Sin perjuicio de la necesidad de una obligación contractual de informar al responsable cuando el encargado esté legalmente obligado a tratar datos personales de forma distinta a las instrucciones del responsable. Cuando esté claro que los requisitos legales de la UE o de los Estados miembros son pertinentes para el tratamiento, utilizar esa redacción ayudaría a demostrar el cumplimiento.
  • Incluir una redacción similar a “ a menos que así lo exija la ley o una orden vinculante de un organismo gubernamental” no puede interpretarse como una instrucción documentada del responsable. El responsable sigue siendo responsable cuando no se ha asegurado de que el subencargado trate los datos personales únicamente según sus instrucciones documentadas. Sin embargo, esto no es aplicable cuando el tratamiento es requerido por la legislación de la UE o de los Estados miembros, o para el tratamiento fuera del EEE, requerido por la legislación de un tercer país al que está sujeto el subencargado y dicha legislación garantiza un nivel de protección esencialmente equivalente.
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.
Privacy Policy
You have read and agreed to our privacy policy
Requerido