El principio de responsabilidad (véase el principio de responsabilidad en la parte de principios de estas Directrices) también está presente cuando un responsable del tratamiento decide requerir los servicios de un encargado. A este respecto, el artículo 28 (1) del RGPD[1] exige a los responsables del tratamiento que lleven a cabo determinadas acciones de diligencia debida, antes de proporcionar a los encargados acceso a los datos personales para la realización de actividades de tratamiento de datos. Al igual que en otras disposiciones del RGPD, no se indica qué acciones específicas debe llevar a cabo un responsable del tratamiento al evaluar a los encargados del mismo. El único criterio que proporciona el RGPD es que los responsables del tratamiento deben elegir a los encargados del tratamiento en función de su capacidad para demostrar que pueden llevar a cabo las actividades de tratamiento de conformidad con el RGPD.
Los controladores deben tener siempre presente que el desarrollo de las herramientas de localización suele implicar el uso de diferentes conjuntos de datos. Los registros deben garantizar la trazabilidad del tratamiento, la información sobre la posible reutilización de los datos y el uso de datos pertenecientes a diferentes conjuntos de datos en la misma, o en diferentes, etapas del ciclo de vida.
Si los responsables del tratamiento llevan a cabo un desarrollo que necesita contar con un tercero para determinadas actividades de tratamiento, deben plantearse dos preguntas (1) qué tipo de conducta se espera para demostrar el cumplimiento de esta obligación; y (2), si se espera algún tipo de acción positiva, ¿cómo deben proceder los responsables del tratamiento para llevar a cabo dicha diligencia debida?
En cuanto a la primera pregunta, el RGPD indica que, si los responsables del tratamiento tienen la intención de seguir cumpliendo con el RGPD, sólo pueden contratar a un encargado del tratamiento que sea capaz de demostrar su cumplimiento del RGPD. Por lo tanto, los responsables del tratamiento deben solicitar información para evaluar esto. En otras palabras, el RGPD espera que los responsables del tratamiento pregunten activamente a su posible encargado del tratamiento sobre este aspecto; no basta con confiar en una cláusula de declaraciones y garantías en el acuerdo de tratamiento de datos (véase la sección “Integridad y confidencialidad” en el capítulo “Principios”). Como forma de garantizarlo, los responsables del tratamiento pueden enviar cuestionarios a todos los encargados del tratamiento o exigirles que demuestren que han superado un proceso de auditoría externa. Además, los responsables del tratamiento pueden añadir una cláusula contractual de auditoría por la que el propio responsable del tratamiento puede realizar una auditoría a un encargado en caso de que se necesiten más pruebas.
En cuanto a la forma en que los responsables del tratamiento deben llevar a cabo esta diligencia debida, de nuevo el RGPD no ofrece cuestiones concretas que analizar. No obstante, algunas autoridades nacionales de control han propuesto temas a tener en cuenta, como por ejemplo si el encargado del tratamiento sigue las normas del sector, solicitar que se facilite información tanto jurídica como técnica sobre la forma en que el encargado trata los datos personales, si se adhiere a un código de conducta o si ha pasado por un sistema de certificación.[2]
Además de estas consideraciones generales, y en función de cómo se integre el tratamiento solicitado por este tercero en el marco de la herramienta desarrollada, deberán formularse otras preguntas. En este sentido, cualquier pregunta que se hicieran los responsables al desarrollar la herramienta debería hacerse al encargado del tratamiento. Nos remitimos a las cuestiones planteadas en la Lista de control incluida en el Cuadro siguiente para obtener más orientación.
| Lista de control: Diligencia debida del encargado
Si el tratamiento implica una transferencia internacional de datos, los responsables del tratamiento obtuvieron información sobre el lugar en el que se realizarán las actividades de tratamiento de datos y (1) llevaron a cabo la revisión de la jurisprudencia sugerida en el punto siguiente; y (2) evaluaron si las jurisdicciones, en el caso de países no pertenecientes a la UE, son consideradas adecuadas por la Comisión Europea. Los responsables del tratamiento revisaron la jurisprudencia de las autoridades nacionales de control en las que opera el encargado del tratamiento para comprobar la existencia de posibles sanciones. Los responsables del tratamiento exigieron pruebas de adhesión a un código de conducta o certificación (esto no es estrictamente necesario, pero puede considerarse una buena práctica). Los responsables del tratamiento exigieron una prueba de certificación ISO pertinente (no es estrictamente necesario, pero puede considerarse una buena práctica). Si hay un encargado del tratamiento, los responsables del tratamiento exigieron una copia de los registros de las actividades de tratamiento. Los responsables del tratamiento preguntaron por el proceso de desarrollo de la herramienta, en particular por el tipo de datos que se utilizaron para la formación de la herramienta y por los datos que ésta necesita para funcionar y ofrecer un resultado útil. |
- ‘Artículo 28 Encargado del tratamiento 1. “Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesad.” ↑
- ICO (sin fecha) Guide to the General Data Protection Regulation (GDPR), What responsibilities and liabilities do controllers have when using a processor? Information Commissioner’s Office, Wilmslow. Disponible en: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/contracts-and-liabilities-between-controllers-and-processors-multi/responsibilities-and-liabilities-for-controllers-using-a-processor/ (accessed 20 May 2020). ↑