Logo de beta legal, soluciones jurídicas y asesoramiento legal
Portal Cliente
93 745 16 14

Opinión EDPB 22/2024 sobre obligaciones derivadas de la dependencia de encargados y subencargados del tratamiento

Responsable del tratamiento de datos

1.- Introducción.

En respuesta a una solicitud de la Autoridad Danesa de Protección de Datos, el Comité Europeo de Protección de Datos (EDPB) ha emitido una opinión sobre la interpretación de las obligaciones que corresponden a los o al responsable del tratamiento de datos cuando dependen de encargados y subencargados. En particular, se centra en la correcta aplicación del artículo 28 del RGPD y su interrelación, entre otros, con las transferencias internacionales de datos reguladas en el Capítulo V. La finalidad de esta opinión es armonizar la interpretación del marco normativo y proporcionar directrices claras sobre la supervisión y la rendición de cuentas en estos escenarios.

2. La Identificación de Encargados y Subencargados

Uno de los aspectos esenciales que resalta el EDPB es la necesidad de que los o el responsable del tratamiento cuente en todo momento con información actualizada sobre los encargados y subencargados con los que trabajan. Esto implica conocer no solo su identidad y datos de contacto, sino también el alcance exacto de las actividades de tratamiento que realizan en su nombre.

Para garantizar esta transparencia, el responsable debe exigir a los encargados que proporcionen esta información de forma proactiva y que la mantengan actualizada, independientemente del nivel de riesgo que represente el tratamiento. Además, es recomendable que los contratos incluyan una lista detallada y actualizada de los subencargados, de manera que el responsable de tratamiento de datos pueda ejercer su derecho de supervisión y oposición cuando lo considere necesario.

3. Evaluación de las Garantías de los Encargados y Subencargados por el Responsable del Tratamiento de Datos

El EDPB subraya la importancia de que los o el responsable del tratamiento seleccione únicamente a encargados que ofrezcan garantías suficientes para aplicar medidas de protección adecuadas. La evaluación de estas garantías debe realizarse con un enfoque proporcional al nivel de riesgo asociado a la actividad de tratamiento.

Si bien los responsables pueden apoyarse en la documentación proporcionada por los encargados, tras la correspondiente solicitud, en aquellos casos donde exista un mayor nivel de riesgo, se recomienda reforzar las verificaciones mediante auditorías o certificaciones. La adhesión a códigos de conducta o a mecanismos de certificación reconocidos también puede servir como una prueba adicional del cumplimiento del RGPD.

Por otro lado, aunque no se exige que los responsables soliciten sistemáticamente los contratos de subencargados, sí se aconseja evaluar caso por caso si es necesario revisar esta documentación para garantizar la conformidad con la normativa.

4. Preguntas Claves Abordadas en la Opinión

La opinión del EDPB aborda varias cuestiones fundamentales en la interpretación del artículo 28 del RGPD:

a) ¿Es obligatorio que el responsable identifique a todos los subencargados o solo a los de primer nivel?

  • El responsable debe contar con información sobre todos los subencargados involucrados en la cadena de tratamiento, garantizando así la supervisión y transparencia necesarias.

b) ¿Cómo se deben verificar y documentar las garantías que ofrecen los encargados?

  • Se recomienda realizar una evaluación basada en el riesgo, utilizando auditorías, certificaciones, solicitud de información y otros mecanismos que permitan acreditar la conformidad.

c) ¿Cuál es el papel del responsable en la supervisión de los contratos entre encargados y subencargados?

  • El responsable de tratamiento de datos tiene la obligación de asegurarse de que los contratos entre los encargados y sus subencargados incluyen requisitos equivalentes a los establecidos en el contrato original.

d) ¿Hasta qué punto puede un responsable solicitar copias de los contratos con subencargados?

  • Aunque no es una obligación general, puede ser necesario solicitar estos documentos en situaciones de alto riesgo o cuando haya dudas sobre el cumplimiento normativo.

e) ¿Cómo afectan las transferencias internacionales a las responsabilidades del responsable?

  • El responsable de tratamiento de datos sigue siendo el garante de que las transferencias se realicen en conformidad con el RGPD y, por ello, debe evaluar la legislación del país receptor y adoptar medidas adecuadas, autorizando o no, la transferencia.

5. Transferencias Internacionales de Datos

Cuando un encargado transfiere datos personales a otro encargado o subencargado ubicado en un tercer país, el responsable no queda eximido de su deber de supervisión. En este sentido, el EDPB recalca que las transferencias internacionales deben cumplir con los requisitos del artículo 44 del RGPD y que, antes de realizarlas, se debe analizar el marco normativo del país de destino para determinar si ofrece un nivel de protección adecuado.

Además, los encargados que operan como exportadores de datos deben documentar de manera exhaustiva las medidas de protección adoptadas. Para garantizar un nivel de seguridad adecuado, se recomienda que los responsables realicen una evaluación de impacto de la transferencia conforme a las Recomendaciones 01/2020 del EDPB.

6. Supervisión y Responsabilidad del Responsable

Aunque los encargados y subencargados tienen la obligación de cumplir con los términos contractuales, la responsabilidad última sigue recayendo en el responsable del tratamiento de datos.

Para cumplir con este deber de supervisión, es crucial que documente las verificaciones realizadas y que implemente mecanismos efectivos para asegurar que sus encargados cumplen con las medidas de protección requeridas.

En aquellos casos donde el tratamiento conlleve un alto riesgo, se recomienda intensificar la supervisión mediante auditorías o inspecciones periódicas. Asimismo, los contratos deben prever la posibilidad de que el responsable audite a los subencargados, cuando sea necesario, para verificar el cumplimiento de sus obligaciones.

7. Conclusiones

En definitiva, la opinión del EDPB refuerza la importancia del control activo y recurrente por parte del responsable del tratamiento de datos sobre los encargados y subencargados, asegurando en todo momento que se cumplen las disposiciones del RGPD.

Las transferencias internacionales de datos, en particular, requieren una evaluación rigurosa para evitar que el nivel de protección se vea afectado negativamente. Es fundamental que los contratos reflejen con claridad las responsabilidades y limitaciones de los encargados, garantizando que las cláusulas contractuales no amplíen indebidamente su margen de actuación.

En última instancia, la supervisión y la diligencia son elementos clave para garantizar el cumplimiento normativo y la protección efectiva de los derechos de los interesados en el tratamiento de sus datos personales.

Picture of Amanda Hernández
Amanda Hernández
Abogada.

Tabla de contenidos

Compartir:

Despachos · Asesorías · Bufetes

¿Buscas una solución que simplifique la gestión del Plan de Igualdad para ofrecer un servicio óptimo a tus clientes?

Nuestra metodología y herramienta te ofrecen:

  • Importación masiva datos en una base de datos única y centralizada.
  • Facilidad de análisis, segmentación y correlación rápida y precisa de datos.
  • Incorporación de la metodología del Ministerio de Igualdad para valoración de puestos.
  • Posibilidad de elaborar y enviar encuestas anónimas y recopilar las respuestas.
  • Análisis las formaciones por tipología, sesiones, horas y asistentes.
Abrir chat
Powered by Joinchat
Hola 👋
¿En qué podemos ayudarte?