Porqué jugamos al quién es quién

Siempre me ha gustado elaborar contratos, y cuanto más complejos lleguen a ser, mejor. Es algo que, sin ánimo de presumir, se me da muy bien. Los que me conocen lo saben, y saben que disfruto enormemente con ello.
Esto no quiere decir que siempre parta de cero para redactar. Como todo jurista, en ocasiones partimos de modelos de clausulados que comenzamos a amasar y dar forma hasta que conseguimos un traje hecho a medida del cliente y sus circunstancias.

El problema viene cuando el uso de contratos «enlatados» se nos va de las manos. Por falta de tiempo, estrés, o llámalo X. Ocurre. Y esta semana me topé con un caso en un contrato de Encargado de Tratamiento que me pasó para revisar un cliente. En él, a todas luces enlatado, había una cláusula deslizada subrepticiamente en que se le colgaba la etiqueta de corresponsable del tratamiento a mi cliente, que «sólo» es encargado.

Mi pequeña divagación en LinkedIn me hizo reflexionar al respecto de la necesidad de clarificación de los conceptos relativos a los sujetos que intervienen en un tratamiento de datos, y cuales son sus obligaciones y responsabilidades en función de la posición que ocupen en la relación. Así que, al lío.

Los sujetos y sus cosas

Decía Ortega y Gasset «Yo soy yo y mi circunstancia«. Y efectivamente así es. En una relación donde tenemos datos fluyendo y pasando (o no) de mano en mano, hay que tener claro quién es quién, como si jugásemos al juego de mesa infantil que tanto nos gustaba de niños.

Responsable del Tratamiento (CONTROLLER)

El art. 4.7 RGPD define al responsable del tratamiento como «la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento».  Obviemos inicialmente ese «junto con otros». El sujeto que da forma jurídica al tratamiento y determina sus fines y medios es el Responsable del Tratamiento.
Sus obligaciones vienen recogidas específicamente en el art. 24 RGPD y de forma conjunta a las del encargado, en el art. 28 LOPD-GDD. Deberá analizar la naturaleza, ámbito, contexto, fines y riesgos del tratamiento y aplicar las medidas técnicas y organizativas apropiadas para garantizar el cumplimiento normativo. No profundizaremos más aquí.

Encargado de Tratamiento (PROCESSOR)

El art. 4.8 RGPD define al encargado del tratamiento como «la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos por cuenta del responsable del tratamiento». He aquí el quid de la cuestión. El ET no determina el tratamiento, sólo recibe el encargo de ejecutarlo bajo los parámetros determinados por el RT. Su relación con el Responsable la encontramos en los art. 28 y 29 RGPD y, como vimos antes, en el art. 28 LOPD-GDD. Es indispensable que el marco de esta relación quede recogida por un contrato o instrumento jurídico asimilable.

Destinatario de datos (RECIPIENT)

El artículo 4.9 define al destinatario de datos como «la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero». Entonces, ¿cuál es la diferencia con un Encargado de tratamiento, puesto que a éste el RT también le comunica datos para su tratamiento? Pues debemos analizar si tratará datos por su cuenta o no, este es el matiz diferenciador. Si el sujeto trata datos por cuenta de un responsable, aunque reciba los datos de él será Encargado. Sin embargo, si recibe los datos de un Responsable pero trata datos de forma independiente a él, estaremos ante un Destinatario. Además, debemos tener en cuenta que el Reglamento apenas se refiere a él en en un par de ocasiones como tal, puesto que a efectos de tratamiento lo considera Responsable.

Corresponsable de tratamiento (JOINT CONTROLLERS)

Esta es una figura nueva para el escenario patrio. ¿Recuerdas que un poco más arriba decía que obviáramos el «junto con otros» que encontrábamos en el art. 4.7? Es momento de retomarlo. La definición que encontramos en el art. 26 RGPD alude directamente a esa definición. En el caso de determinar los fines y/o los medios “junto con otros” es cuando nos encontramos ante la figura del Corresponsable.
Los Corresponsables tienen que documentar su relación, como en el caso de los Encargados, a través de un acuerdo en que se establezcan las funciones y responsabilidades de cada uno, y los procedimientos habilitados para el ejercicio de los interesados.
Esta figura está pensada para supuestos como podrían ser un grupo empresarial, donde la matriz determina y ejerce los tratamientos conjuntamente con sus filiales, o empresas públicas dependientes de otros organismos, por ejemplo.

Representantes de Responsables o Encargados no establecidos en la UE (REPRESENTATIVES)

El art. 4.17 dice que un Representante es aquella «persona física o jurídica establecida en la Unión que, habiendo sido designada por escrito por el responsable o el encargado del tratamiento (…) represente al responsable o al encargado en lo que respecta a sus respectivas obligaciones». Su régimen viene determinado en el art. 27 RGPD. Entre sus tareas principales estrán la atención de interesados y autoridades de control.

Autoridad de Control (SUPERVISORY AUTHORITY)

El art. 4.21 RGPD define la Autoridad de Control como la autoridad pública independiente establecida por un Estado Miembro de la Unión cuyas funciones se establecen en el art. 51 RGPD. En España, los art.s 44 y ss. LOPD-GDD dispone que la autoridad de control principal es la AEPD, cuya nueva denominación es «Agencia Española de Protección de Datos, Autoridad Administrativa Independiente«, y establece su nuevo régimen jurídico y competencial.
Dado el régimen autonómico español, la regulación de nuestra autoridad de control se complementa con la regulación de las autoridades de control autonómicas en los artículos 57 y ss. LOPD-GDD. Pero esa es otra historia, y debe ser contada en otro momento.

Comité Europeo de Protección de Datos (EUROPEAN DATA PROTECTION BOARD)

Y ¿quién coordina toda esta fiesta? Pues hasta el 25 de mayo de 2018 las cuestiones relativas a protección de datos eran tarea del Grupo de Trabajo del artículo 29. Pero no os mareo con ello, puesto que ya es cosa del pasado. A partir de ese momento, se crea el Comité Europeo de Protección de Datos. Este organismo independiente lo componen representantes de las Autoridades de Control de cada Estado Miembro, y el Supervisor Europeo de Protección de Datos. Lo crea el art. 68 RGPD. Su primera Presidencia la ostenta Andrea Jelinek.

Bonus: Supervisor Europeo de Protección de Datos (EUROPEAN DATA PROTECTION SUPERVISOR)

Creado en 2004 y con sede en Bruselas, este órgano supervisa el tratamiento de datos personales por parte de la administración europea.
Sus funciones son de supervisión, asesoramiento y control, y cualquier ciudadano puede contactar directamente con él puesto que es una suerte de defensor del ciudadano europeo en materia de protección de datos personales. Podéis conocerlo en profundidad a través de la web de la Unión Europea o la web del propio Supervisor.

Moraleja

Cada sujeto en un tratamiento de datos tiene un traje concreto que vestir según la forma en la que vaya a «jugar» con ellos. Es importante saberlo, no sólo para evitar que un proveedor o un cliente nos quiera asignar responsabilidades que no nos corresponda asumir, sino también para determinar en nuestro planteamiento desde el diseño y por defecto de qué fórmulas disponemos para lograr los fines de nuestros tratamientos cuando sea necesaria la intervención de terceros.

Por supuesto, los más puristas dirán que hay algún concepto que dejo al margen (I kwow, I know), o que toco muy de refilón. Pero el objeto era facilitar la comprensión básica de los sujetos y las posiciones más habituales que encontraremos en un tratamiento de datos digamos estándar, a modo más divulgativo que técnico. Espero haberlo conseguido.

Salvo mejor opinión, claro está…