Dictamen 22/2024 del Comité Europeo de Protección de Datos: orientación sobre algunas obligaciones de los responsables del tratamiento cuando recurren a encargados y subencargados

En respuesta a una solicitud de la Autoridad Danesa de Protección de Datos (en lo sucesivo, ADPD) y con la finalidad de armonizar la interpretación por las autoridades nacionales de protección de datos de algunas cuestiones relevantes sobre el artículo 28 del Reglamento General de Protección de Datos (RGPD), el pasado 7 de octubre de 2024 el Comité Europeo de Protección de Datos (en adelante, CEPD) adoptó su Dictamen 22/2024 sobre determinadas obligaciones derivadas de recurrir a encargados y subencargados del tratamiento (en inglés, Opinion 22/2024 on certain obligations following from the reliance on processor(s) and sub-processor(s)).

En su dictamen, el CEPD se pronuncia sobre diversas cuestiones relativas a las obligaciones de responsabilidad proactiva (en inglés, accountability) del responsable del tratamiento en la cadena de tratamiento de datos personales y sus relaciones con los (sub)encargados.

La ADPD hizo seis (6) preguntas al CEPD con la finalidad de obtener respuestas que sirvan para aclarar o concretar el alcance de algunas obligaciones del responsable del tratamiento para cumplir con el RGPD. De manera agrupada, las preguntas se refieren, por una parte, a las obligaciones de responsabilidad proactiva de los responsables del tratamiento y el nivel de documentación que las autoridades de supervisión deberían esperar de dichos responsables cuando recurren a (sub)encargados. Y, por otra parte, al contenido específico del contrato entre el responsable y el encargado del tratamiento.

Se exponen a continuación, de manera resumida, las obligaciones exigibles a los responsables del tratamiento cuando recurren a encargados del tratamiento que se incluyen en el Dictamen 22/2024 del CEPD.

• Los responsables del tratamiento deben tener identificados a los participantes en la cadena de tratamiento de los datos personales. Aunque el RGPD no lo establece expresamente, el responsable del tratamiento debería tener, en todo momento, un fácil acceso a la identificación e información sobre los (sub)encargados. Se trata de que el responsable del tratamiento pueda cumplir con sus obligaciones en virtud del RGPD supervisando el tratamiento de los datos personales a lo largo de la cadena de tratamiento.
• Disposiciones en el contrato sobre el recurso a otros (sub)encargados por el encargado. El CEPD señala que, si el encargado solicita autorización específica del responsable para recurrir a un subencargado y aquél no responde en el plazo establecido en el contrato, el silencio es negativo. Es una cuestión que el responsable del tratamiento debería incluir expresamente en el contrato con el encargado del tratamiento.
• Información a proporcionar a los interesados sobre los (sub)encargados como “destinatarios” de los datos personales. Los (sub)encargados son considerados por el CEPD como “destinatarios” de los datos, lo que debe tenerse en cuenta en relación con (i) la información a proporcionar a los interesados, (ii) la información que debe constar en el registro de actividades del tratamiento, (iii) la información a proporcionar a los interesados cuando ejercitan su derecho de acceso y, (iv) salvo que sea imposible o exija un esfuerzo desproporcionado, la comunicación por el responsable del tratamiento a cada destinatario de la rectificación o supresión o limitación del tratamiento.
• Aplicación de medidas técnicas y organizativas apropiadas. Las medidas técnicas y organizativas apropiadas para asegurar el cumplimiento con el RGPD deben adoptarse teniendo en cuenta el riesgo que implique el tratamiento de datos personales, si bien la obligación del responsable del tratamiento de verificar si los (sub)encargados proporcionan garantías suficientes debería aplicarse sin perjuicio del riesgo para los derechos y libertades de los interesados. 
  La decisión última sobre recurrir a otros subencargados es del responsable del tratamiento y está obligado a asegurarse de que proporcionen garantías adecuadas para cumplir con el RGPD.
• En casos de transferencias internacionales de datos, asegurarse de que el nivel de protección de datos del RGPD no se vea socavado y tener la documentación necesaria para demostrar el cumplimiento. El CEPD señala en su dictamen que, para cumplir con sus obligaciones, el responsable del tratamiento se puede apoyar en la documentación o información recibida del encargado/exportador. Ahora bien, el CEPD no clarifica quién, si el responsable o el encargado del tratamiento, tiene que hacer la evaluación de impacto de la transferencia (en inglés, transfer impact assessment) aunque sobre la base de lo indicado cabría concluir que el responsable del tratamiento podrá cumplir con ésta a partir de la información y documentación que le dé el encargado del tratamiento.

Teniendo en consideración las orientaciones dadas por el CEPD en su dictamen, es recomendable que los responsables del tratamiento revisen sus contratos u otros instrumentos jurídicos firmados con los encargados del tratamiento y, en su caso, adopten las medidas apropiadas para asegurar el cumplimiento del RGPD. Esta puede ser también una oportunidad para actualizar, según sea necesario, otras cuestiones en dichos contratos y supervisar el cumplimiento en materia de protección de datos personales en virtud del principio de responsabilidad proactiva.