Responsables, encargados y subencargados del tratamiento de datos

El Comité Europeo de Protección de Datos (CEPD) emitió el pasado mes de octubre el Dictamen 22/2024, a solicitud de la Autoridad Danesa de Protección de Datos (ADPD). Este dictamen responde a la necesidad de interpretar de forma armonizada ciertos aspectos del Reglamento General de Protección de Datos (RGPD), en especial los relacionados con el artículo 28, y sus implicaciones en la relación entre responsables, encargados y subencargados del tratamiento de datos.

1. Contexto y objetivos del dictamen

En el marco del RGPD, la relación entre el responsable del tratamiento y los encargados es clave para garantizar el cumplimiento de los requisitos de protección de los derechos de los interesados. El dictamen se centra en:

• Las obligaciones derivadas de la dependencia en la cadena de tratamiento: el CEPD aclara cómo debe proceder el responsable cuando depende de uno o varios encargados y subencargados para cumplir con el tratamiento de datos.
• La necesidad de disponer de una documentación adecuada: lo que implica tener información actualizada y detallada sobre la identidad y funciones de cada participante en la cadena de tratamiento.

El dictamen, además de abordar cuestiones específicas sobre la aplicación del artículo 28 del RGPD, está estrechamente vinculado con los principios de transparencia y responsabilidad proactiva (artículos 5 y 24 del RGPD).

2. Identificación de encargados y subencargados

Una de las conclusiones centrales del dictamen es que el responsable del tratamiento debe disponer de información precisa y actualizada sobre todos los encargados y subencargados que intervienen en el tratamiento de datos. Esto incluye:

• Datos de identificación: nombre, dirección, persona de contacto y descripción del tratamiento a cargo de cada encargado.
• Control efectivo sobre la cadena: aunque la cadena pueda resultar extensa, el responsable debe ser capaz de identificar cada eslabón para ejercer una supervisión adecuada y cumplir con la obligación de transparencia.

Esta medida no solo facilita el cumplimiento de los requisitos legales, sino que también permite responder de forma eficaz a las solicitudes de acceso de los interesados y a eventuales incidencias en el tratamiento de los datos.

3. Autorización para la contratación de subencargados

El dictamen refuerza la necesidad de que la contratación de subencargados se realice bajo un estricto control:

• Autorización previa: el artículo 28.2 del RGPD exige que cualquier contratación de subencargados cuente con la autorización previa del responsable, ya sea de forma específica (detallando cada caso) o general (estableciendo criterios y permitiendo la aprobación posterior).
• Actualización y control: en el caso de autorización general, el encargado debe proporcionar al responsable la posibilidad de revisar y, en su caso, objetar cualquier cambio en la lista de subencargados.

De este modo, se garantiza que el responsable del tratamiento mantenga el control sobre los demás participantes en el tratamiento y que estos cumplan con los estándares requeridos en materia de protección de datos.

4. Principio de transparencia y derechos de los interesados

La transparencia es uno de los pilares fundamentales del RGPD. En este sentido, el dictamen destaca lo siguiente:

• Información a los interesados: Los responsables deben informar de manera clara y precisa sobre quiénes son los destinatarios o categorías de destinatarios de los datos, incluidos los encargados y subencargados, de modo que los interesados puedan conocer la identidad real de quienes acceden a su información.
• Obligación de comunicación: Además, ante cualquier rectificación, supresión o limitación del tratamiento, el responsable debe comunicar estos cambios a todos los destinatarios involucrados, garantizando así la plena efectividad de los derechos de los interesados.

Esta exigencia contribuye a fortalecer la confianza de los ciudadanos en el tratamiento de sus datos personales y asegura que la cadena de tratamiento se mantenga en línea con las expectativas de protección y seguridad.

5.   Verificación de garantías y evaluación del riesgo

Complementando lo anterior, el dictamen del CEPD también pone énfasis en otras cuestiones importantes, tales como:

• Garantías suficientes: Los responsables del tratamiento deben verificar que los encargados y subencargados ofrezcan «garantías suficientes», cuestión que supone implementar las medidas técnicas y organizativas adecuadas.
• Enfoque basado en el riesgo: la extensión y detalle de esta verificación dependerá del riesgo que la actividad de tratamiento represente para los derechos y libertades de los interesados. En procesos de alto riesgo, la documentación y la verificación deberán ser más rigurosas.
• Continuidad en el control: esta verificación es una obligación continua, en la que el responsable debe solicitar información actualizada y, en su caso, realizar auditorías para asegurar el cumplimiento de las garantías establecidas en el RGPD. 

6.   Conclusiones

El Dictamen 22/2024 del CEPD reafirma la importancia de que los responsables del tratamiento ejerzan un control riguroso sobre la cadena de tratamiento de datos. Al identificar de forma exhaustiva a todos los encargados y subencargados, establecer mecanismos claros para autorizar y actualizar el listado de dichos actores y aplicar un enfoque basado en la evaluación del riesgo, se garantiza una protección efectiva de los derechos de los interesados y se fortalece la responsabilidad proactiva en el marco del RGPD.

Esta interpretación busca, en última instancia, simplificar la cooperación entre las autoridades de protección de datos y mejorar la aplicación práctica de la normativa, lo que contribuirá a aumentar la confianza en el entorno digital y en la protección de la privacidad de los ciudadanos.

Autores: Ramon Baradat, con la colaboración de Paula Baidez.