El “Dictamen sobre las Obligaciones de Encargados y Subencargados" fue adoptado el 7 de octubre de 2024 por el Comité Europeo de Protección de Datos (en adelante, “EDPB” por sus siglas en inglés) a solicitud de la Autoridad de Control Danesa. Este texto busca proporcionar una interpretación armonizada de ciertos aspectos del Artículo 28 del Reglamento General de Protección de Datos (RGPD), en particular en relación con las obligaciones de los responsables del tratamiento al contratar con encargados y subencargados del tratamiento. En concreto, aborda cuestiones sobre la interpretación de determinadas obligaciones de los responsables que dependen de los encargados y subencargados del tratamiento, así como la redacción de los contratos entre las partes y las transferencias de datos personales a terceros países.
Obligaciones de los responsables
El Artículo 28(1) del RGPD establece que los responsables deben contratar únicamente encargados que ofrezcan "garantías suficientes" para implementar medidas técnicas y organizativas adecuadas que cumplan con los requisitos del RGPD y protejan los derechos de los interesados. La EDPB enfatiza que esta obligación se aplica independientemente del riesgo asociado con la actividad de tratamiento de datos. Los responsables deben tener información sobre la identidad de todos los encargados y subencargados del tratamiento en todo momento para cumplir con sus obligaciones.
La EDPB subraya que los responsables deben verificar y documentar la suficiencia de las garantías proporcionadas por todos los encargados en la cadena del tratamiento. La extensión de esta verificación variará según la naturaleza de las medidas técnicas y organizativas y el nivel de riesgo asociado con la actividad de tratamiento. Para actividades de tratamiento de alto riesgo, los responsables deben aumentar su nivel de verificación.
El dictamen también establece que, si bien el encargado inicial debe garantizar que propone subencargados con garantías suficientes, la decisión final y la responsabilidad de contratar a un subencargado específico siguen recayendo en el responsable del tratamiento.
Contratos
El Artículo 28(3)(a) del RGPD establece que los encargados deben tratar datos personales únicamente bajo instrucciones documentadas del responsable, a menos que estén obligados a hacerlo por la ley de la Unión o del Estado miembro al que esté sujeto el encargado. La EDPB recomienda incluir esta cláusula específica en los contratos, resaltando que no es estrictamente obligatorio. Sin embargo, la inclusión de este tipo de términos no exime al encargado de cumplir con sus obligaciones bajo el RGPD.
El EDPB considera que, en virtud del RGPD, el responsable del tratamiento no tiene la obligación de solicitar sistemáticamente los contratos de subtratamiento para comprobar si las obligaciones de protección de datos se han transmitido a lo largo de la cadena de tratamiento. No obstante, el responsable del tratamiento deberá evaluar si es necesario solicitar una copia de dichos contratos o revisarlos para poder demostrar el cumplimiento del RGPD.
Transferencias Internacionales
En casos de transferencias de datos personales fuera del Espacio Económico Europeo (EEE) entre encargados y subencargados, los responsables siguen sujetos a las obligaciones del Artículo 28(1) del RGPD y deben asegurarse de que el nivel de protección garantizado por el RGPD no se vea socavado. En este sentido, los responsables deben evaluar y poder demostrar la documentación relevante preparada por el encargado/exportador.
Asimismo, cuando las transferencias de datos personales fuera del Espacio Económico Europeo tengan lugar entre dos (sub)encargados del tratamiento, el encargado como exportador de datos debe preparar la documentación pertinente, como la relativa al motivo de la transferencia utilizada, la evaluación de impacto de la transferencia y las posibles medidas complementarias. Sin embargo, dado que el responsable del tratamiento sigue estando sujeto a las obligaciones derivadas del artículo 28, apartado 1, del RGPD sobre «garantías suficientes», además de las establecidas en el artículo 44 para garantizar que el nivel de protección no se vea socavado por las transferencias de datos personales, debe evaluar esta documentación y poder mostrarla a la autoridad de protección de datos competente.
Igualmente, el Dictamen recomienda que se haga una distinción en el contrato entre los terceros países que socavarían el nivel de protección garantizado por el RGPD y aquellos que no lo harían.
Conclusión
Los responsables deben tener información actualizada sobre todos los encargados y subencargados y verificar las garantías proporcionadas por ellos. La verificación debe ser más rigurosa para actividades de tratamiento de alto riesgo. Además, los contratos entre responsables y encargados deben incluir cláusulas que reflejen las obligaciones del RGPD, y los responsables deben asegurarse de que las transferencias internacionales de datos no socaven el nivel de protección garantizado por el RGPD.
¿Tienes contratados muchos proveedores de servicios? ¿No sabes cómo regular esta figura contractualmente? ¿Quieres saber qué obligaciones tienen los encargados del tratamiento? ¿No sabes cómo regular una transferencia internacional de datos en tus contratos?
Artículo elaborado por Pedro Marqués Gaspar, manager de Regulación Digital de PwC Tax & Legal y Fina Sastre Coll, senior associate de Regulación Digital de PwC Tax & Legal.
Contacta con nosotros
