Uno de los mayores problemas de los sistemas IdC es que suelen utilizar diferentes dispositivos, con sus propias características. Esto crea importantes problemas en cuanto a la distribución de funciones entre los diferentes controladores implicados. Por otro lado, es obvio que un controlador a menudo confiará algunas de las tareas técnicas a un procesador, que incluso podría involucrar a un subprocesador en las tareas. En la práctica, sin embargo, habrá ocasiones en las que será difícil garantizar que el procesador no esté actuando realmente como controlador o controlador conjunto.

Los desarrolladores de IdC deben hacer todo lo posible para evitar estos problemas, ya que el reglamento de protección de datos exige una respuesta clara a la pregunta “¿quién es el responsable de este tratamiento?” para garantizar una protección efectiva y completa de los derechos y libertades de los interesados. Por lo tanto, un requisito clave de una política adecuada de protección de datos desde el diseño es aclarar desde el principio quiénes son los responsables y encargados del tratamiento de los datos, a fin de garantizar que se entienda la responsabilidad legal.

Para cumplir este objetivo, deben alcanzarse y documentarse acuerdos escritos entre todos los agentes implicados en el desarrollo de la herramienta. Estos deben incluir especificaciones claras sobre las responsabilidades asumidas por todos los participantes. Promover una interacción continua entre todos los DPD implicados podría ser una excelente opción. Pueden adoptarse órganos y herramientas de supervisión ad hoc para garantizar una supervisión fluida del tratamiento de los participantes. Véase el recuadro siguiente.

Recuadro 2: Cómo hacer frente a situaciones complejas de responsabilidad de datos El proyecto de investigación Synchronicity, financiado por la UE, tenía como objetivo crear un ecosistema armonizado para las soluciones de ciudades inteligentes habilitadas por el IdC, en el que los fabricantes de dispositivos IdC, los integradores de sistemas y los proveedores de soluciones pudieran innovar y competir abiertamente. Para ello, se utilizó una gran cantidad de datos personales proporcionados por diferentes fuentes. En este contexto, “parecía bastante claro que los controladores de datos de facto eran las propias ciudades. Son ellas las que controlan qué datos se recogen y con qué finalidad”. Al mismo tiempo, el proyecto tenía la responsabilidad colectiva de garantizar que sus actividades de investigación también cumplían la normativa. Coordinación de la protección de datos – Modelo intermedio Aunque pueden participar varios responsables del tratamiento de datos, hay que asegurar y garantizar la coordinación entre ellos a nivel de proyecto. Esto es lo que experimentó Synchronicity al crear un Comité de Protección de Datos (CPD) que reúne a los delegados de la protección de datos (DPD) de cada ciudad inteligente, presidido por un Coordinador de Protección de Datos del Proyecto (CPD) a nivel de proyecto. Por ley, las ciudades siguen siendo los responsables formales del tratamiento de datos bajo su control y son directamente responsables de ello. Sin embargo, la creación del CPD permite una estrecha coordinación y el intercambio de experiencias para garantizar que el proyecto en su conjunto cumpla la normativa, así como para identificar y mitigar los posibles riesgos que puedan afectar a los socios.” Siguiendo este criterio, las funciones y responsabilidades en el proyecto se distribuyeron de la siguiente manera: A nivel de DPD de ciudad x Funciones y responsabilidades del DPD, incluida la protección de datos y la supervisión del cumplimiento del RGPD x Identificación de la recogida de datos personales, incluida la identificación de los responsables y encargados del tratamiento x Evaluación del impacto de la protección de datos (EIPD) A nivel de proyecto x Coordinación de la política de protección de datos x Información pública y contacto x Informes y protección de datos Gestión de problemas (Véase: https://www.monica-project.eu/wp-content/uploads/2020/06/Personal-DataProtection-for-IoT-Deployments-final-MI.pdf, p. 11)

Además, algunas partes pueden redactar contratos situándose en un papel diferente al que realmente les corresponde. Por ejemplo, una parte interesada puede alegar que es un transformador para evitar ciertas obligaciones de control, e incluso firmar un contrato. Sin embargo, la realidad manda aquí e, independientemente de lo que digan las partes, su papel tendrá que definirse en función de sus actos. En este sentido, la jurisprudencia de la UE ^[1]tiende a ampliar el concepto de controlador y controlador conjunto, reduciendo el espacio para los procesadores puros. En este sentido, a menudo ocurrirá que todas las partes implicadas compartan cierto grado de responsabilidad y se conviertan en corresponsables del tratamiento para aquellas partes de las actividades de tratamiento que impliquen a esas diferentes partes. A partir de ahí, cada parte tendrá su propia responsabilidad independiente.

 

 

1. Véase: Sentencia del Tribunal (Gran Sala) de 5 de junio de 2018.
   Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein contra Wirtschaftsakademie Schleswig-Holstein GmbH.
   Solicitud de decisión prejudicial del Bundesverwaltungsgericht. Caso C210-16, en: https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX:62016CJ0210 ↑