¿Cuándo existe corresponsabilidad entre empresas según el RGPD?

El Reglamento General de Protección de Datos 2016/679 (en adelante, RGPD) introduce un concepto nuevo que no existía en la antigua LOPD: la corresponsabilidad.

La introducción de este nuevo concepto viene a cubrir una situación que no estaba resuelta en la anterior normativa. En concreto, el artículo 26 del RGPD regula cuando dos o más entidades que sean Responsables del Tratamiento determinen de forma conjunta los objetivos y medios del tratamiento.

El concepto parece un poco confuso y difícil de aplicar, pues se debe determinar cuándo y hasta qué punto se entiende que dos o más entidades determinan de forma conjunta objetivos y medios.

Resulta interesante destacar aquí que el Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal del Estado Español no aporta más luz sobre el asunto, pues se limita a remitirse al RGPD en su artículo 29 al tratar este asunto.

En cambio, sí obtenemos mayor desarrollo sobre el concepto de corresponsabilidad en el Informe 169 del Grupo de Trabajo del artículo 29 “Opinion 1/2010 on the concepts of "controller" and "processor". Dicho informe define de forma extensa las figuras del Responsable y del Encargado del Tratamiento y, además, desarrolla el caso de los “Responsables conjuntos”.

En el caso en que múltiples actores intervengan en el tratamiento de datos personales, el referenciado informe destaca la importancia de determinar los roles y responsabilidades de cada uno de los actores, para ello, recomienda el establecimiento de un contrato entre las partes. En un contrato, entre otros puntos, se debe determinar el nivel de responsabilidad de cada uno de los Responsables del Tratamiento, pues puede que ésta no se distribuya de forma equitativa.

Aún con todo, puntualiza el informe que siempre hay corresponsabilidad cuando intervienen diferentes actores, pues puede que diversas entidades trabajen en cadena siendo cada empresa Responsable del Tratamiento en su área. Para ejemplificar esta situación, puntualiza el caso de las agencias de viaje, las aerolíneas y los hoteles, en el que las tres actúan en cadena siendo cada una responsable independiente de actuación, pues no definen de forma conjunta ni objetivos ni medios; en todo caso, si estas tres compartieran una infraestructura de venta online sí que estaríamos ante un caso de corresponsabilidad, pues determinarían conjuntamente los medios.

Cabe destacar también el supuesto de grupo de empresas. Por lo general, en los grupos de empresas se determinan conjuntamente objetivos y medios del tratamiento. El establecimiento de un contrato entre las partes en el que se dispongan las respectivas responsabilidades de cada una, puede ser un método simple, claro y transparente de organizar el tratamiento de datos personales que comparten, tanto a nivel interno como de cara a los interesados.

Por otro lado, dentro de un grupo empresarial, no siempre existirá corresponsabilidad, pues también puede aparecer la figura de Responsable vs Encargado dentro de un mismo grupo. Ello se refiere al supuesto en que una de las empresas del grupo centralice, por ejemplo, una actividad transversal. En ese caso, la empresa que realiza la actividad presta un servicio a las otras y, por ello, entre ellas se debe establecer un contrato de prestación de servicios por cuenta de terceros.

Una vez asentada la existencia de corresponsabilidad, el RGPD establece que los Responsables del Tratamiento deben determinar de modo transparente y de mutuo acuerdo sus respectivas responsabilidades. Deben establecer sus funciones y relaciones con los interesados, en concreto, sus responsabilidades en cuanto al ejercicio de derechos del interesado y sus obligaciones de suministro de información a que se refieren los artículos 13 y 14 del RGPD.

Irene Rossello

Abogada

irossello@binauramonlex.com