LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

19/03/2024. 10:24:45

LegalToday

Por y para profesionales del Derecho

Blog ECIJA 2.0

Una regulación lógica para la corresponsabilidad a la luz del RGPD

abogado de ECIJA

No todo es malo en el nuevo Reglamento europeo de Protección de Datos (RGPD). Pese a que las novedades introducidas por el RGPD obligan a las empresas, por un lado, a adoptar las medidas necesarias para la gestión eficaz y acreditable de la privacidad y, por otro, a replantearse la legalidad de algunos de los aspectos relacionados con el tratamiento de los datos llevado a cabo en la actualidad, como la forma de obtención de los consentimientos, no todo es malo en el nuevo Reglamento.

Símbolo del euro

Prueba de ello, es la regulación más lógica y adaptada a la realidad empresarial de la corresponsabilidad en el tratamiento de datos de carácter personal.

¿Cuál es la situación actual?

Pese a que la Directiva 95/46/CE ya incluía la previsión de que pueden darse casos en los que más de un responsable determine los fines y los medios del tratamiento de datos personales,   la realidad es que la "corresponsabilidad", como tal, no se regula en la normativa de protección de datos aplicable en España. Limitándose su trasposición a un reflejo en la definición del responsable dada por el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos (RLOPD), que viene a definirle como aquel que sólo o conjuntamente con otros decide sobre la finalidad, contenido y uso del tratamiento; y, principalmente, en lo dispuesto por el artículo 57 del referido RLOPD, en el que se aborda la cuestión de los "Ficheros en los que exista más de un responsable".

Sin embargo, dicho artículo se sitúa en el Capítulo correspondiente a la Notificación e inscripción de los ficheros, dentro de las Obligaciones previas al tratamiento de los datos, por lo que, el alcance de esta "corresponsabilidad", debe entenderse desde la necesidad de que todos y cada uno de los corresponsables cumplan con su obligación de inscripción en el Registro General de Protección de Datos, sin que se establezca ninguna particularidad adicional para esta clase de relación jurídica, tan habitual en la realidad societaria actual.

¿Qué trae de nuevo el RGPD?

El RGPD recoge nuevamente la figura de la corresponsabilidad en la definición de "responsable", interpretando la misma como la determinación conjunta de los objetivos y medios del tratamiento. Sin embargo, introduce la novedad de regular esta relación jurídica específicamente y no sólo desde la perspectiva limitada de la notificación de ficheros (como no podía ser de otra manera al desaparecer esta obligación).

En este sentido, el artículo 26 del RGPD establece que, cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento, serán considerados corresponsables del tratamiento. Permitiéndoles, y es aquí donde radica realmente la novedad, repartir de mutuo acuerdo sus responsabilidades relativas al cumplimiento de las obligaciones impuestas por el Reglamento (en la medida que puedan disponer libremente de las mismas).

Es decir, los corresponsables podrán establecer de qué obligaciones derivadas del tratamiento de datos de carácter personal se ocupará cada uno de los corresponsables y en qué medida, con la única condición de que los aspectos esenciales de dicho reparto sean puestos en conocimiento de los interesados, a fin de que sean conocedores de qué corresponsable se ocupa de cada cosa.

Y esto… ¿es algo bueno?

Indudablemente. No sólo por el hecho de que los corresponsables puedan, realmente, repartirse responsabilidades en función de qué parte del tratamiento realicen cada una de ellas, lo que supone una evidente ahorro de recursos económicos y organizativos, o que puedan designar un punto de contacto para los interesados, delegando las responsabilidades en este sentido en una de las corresponsables (aunque estos podrán ejercer los derechos que les son reconocidos frente a cualquier de los corresponsables), sino que, además, viene a dar cobertura legal a la situación habitual en la práctica de que, varias empresas, compartan una misma base de datos, sin que tengan que asumir todas las obligaciones exigidas individualmente a cada responsable por la normativa actual, sino únicamente aquéllas de las que han acordado ocuparse. 

¿Hay algún pero?

Siempre lo hay… Aunque con el nuevo RGPD las empresas tendrán mucho más fácil realizar tratamientos conjuntamente, el hecho de distribuirse responsabilidades no impide, per se, que uno de los corresponsables pueda asumir los daños y perjuicios causados por otro corresponsable.

Es decir, que un corresponsable puede verse obligado a asumir las responsabilidades de otro corresponsable incumplidor, a fin de garantizar la percepción por el interesado de la indemnización a la que hubiera lugar.

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.