info@ecija.com

Sala de Prensa

22 febrero, 2018
twitter linkedIn

«La obligación de informar de los encargados de tratamiento en el RGPD», tribuna de Javier de Miguel, abogado de ECIJA, para Actualidad Jurídica Aranzadi.

El Reglamento General de Protección de Datos (RGPD), establece entre los derechos del interesado, el de Transparencia de la información. Dicho derecho, establece la obligación para el responsable de adoptar las mediad oportunas para facilitar al interesado toda la información establecida en los artículos 13 y 14 de dicho Reglamento.

En este sentido, y entre los muchos aspectos establecidos por la normativa respecto de los que el responsable debe de informar (identidad, datos de contacto, fines del tratamiento, intereses legítimos del responsable, pazo de conservación de los datos, etc.) se establece la necesidad de informar a los interesados de los “destinatarios” o de las “categorías de destinatarios” de sus datos personales.

Sin embargo, dicha obligación no es una novedad del RGPD, de hecho, el propio artículo 5 de la Ley Orgánica 15/1999 de Protección de Datos (LOPD) ya incluía la necesidad de informar a los interesados de los destinatarios de la información.

Lo que sí es una novedad es la definición que se da en el RGPD al concepto de destinatario.

El RGPD, define a los destinatarios como las personas físicas o jurídicas, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero. Circunstancia que, a priori, puede resultar sencilla, pero que, tras profundizar en ella, resulta compleja. Más si cabe, cuando puede suponer que los responsables queden obligados a informar a los interesados de la totalidad de prestadores de servicios que tendrán acceso a sus datos.

Entonces ¿en qué cambia el RGPD el escenario actual?

Sin duda, la clave radica en la expresión “se trate o no de un tercero”, incluida en la definición que el RGPD da a los destinatarios, cuyo alcance ha sido interpretado por el  Grupo de Trabajo del Artículo 29.

Dicho Grupo de Trabajo,  ha emitido las “Guidelines on transparency under Regulation 2016/679” (WP260), que pretenden proporcionar orientación práctica sobre la interpretación del RGPD, estableciendo pautas para el cumplimiento de sus disposiciones relacionadas con el derecho del interesado a la transparencia de la información.

En ellas se establece que el concepto de destinatario no debe limitarse a los terceros (entendiendo por tales a los cesionarios de datos), ampliando el alcance del mismo a los prestadores de servicios con acceso a datos, es decir a los encargados de tratamiento. En virtud de lo cual, concluye en sus Guidelines el GT29, que, de acuerdo con el principio de lealtad, los responsables deberán proporcionar información sobre la totalidad de destinatarios reales de los datos personales, entre los que deben encontrarse los encargados de tratamiento.

Por lo tanto, siguiendo las pautas del GT29, debe entenderse que las empresas quedan obligadas a informar de sus encargados de tratamiento a los interesados. Circunstancia que, en absoluto, resulta sencilla de asumir. No sólo por el hecho de informar, sino por la complejidad de mantener todos los textos y clausulas informativos actualizados, cuando, como se dijo, el cambio de proveedores es algo habitual y muy frecuente.

A mayor abundamiento, el hecho de informar de los prestadores de servicios con los que cuenta cada empresa puede resultar perjudicial para sus propios intereses empresariales, toda vez que, pese a que la información se destinaría al interesado, la misma sería accesible por competidores o, incluso, puede darse la circunstancia de que el responsable haya suscrito acuerdos con estos prestadores, que incluyan en su condicionado cláusulas de confidencialidad que, de hecho, impedirían dicha divulgación de esta información empresarialmente sensible.

Sin embargo, la “Guía para el cumplimiento del deber de informar”, publicada por la Agencia Española de Protección de Datos (AEPD), la Autoridad Catalana de Protección de Datos y la Agencia Vasca de Protección de Datos, establece que “es conveniente informar también de la existencia de Encargados de Tratamiento (…), especialmente en los casos en que impliquen transferencias a terceros países”.

Así las cosas, ¿cómo deben actuar las empresas?

Teniendo en cuenta la redacción del RGPD, así como la interpretación dada por el GT29 del alcance de la expresión “se trate o no de un tercero”, parece que la única solución de las empresas es informar de sus encargados de tratamiento. No obstante, lo anterior, según establece la Guía para el cumplimiento emitida por la AEPD y las autoridades de control autonómicas, proporcionar dicha información debe entenderse más como una recomendación que como una obligación concreta.

En este sentido, el propio RGPD abre una pequeña ventana, permitiendo a las empresas informar únicamente de las categorías de destinatarios. En este sentido, el GT29 ha establecido que, en caso de optarse por esta solución, debe informarse de la forma más específica posible, incluyéndose una referencia al tipo de destinatario, en función de las actividades que éste lleva a cabo, la industria y sector a la que pertenece, así como su ubicación.

No obstante, el GT29 indica expresamente que, si se escoge esta opción, el responsable debe ser capaz de demostrar por qué optó por la misma, en lugar de por la de proporcionar la información en el sentido más amplio y garantista.

 

Descargar PDF