Los conceptos de responsable del tratamiento, corresponsable del tratamiento y encargado del tratamiento desempeñan un papel crucial en la aplicación del RGPD, ya que determinan quién será responsable del cumplimiento de las distintas normas de protección de datos, y cómo los interesados pueden ejercer sus derechos en la práctica[1] (véase la parte de estas Directrices dedicada a los “Actores principales”, principalmente las secciones dedicadas al “Responsable del tratamiento” o al “Encargado del tratamiento”). En el caso de la utilización de las redes sociales para el tratamiento de datos, es igualmente importante distinguir adecuadamente al responsable del tratamiento de datos del encargado del mismo, ya que las responsabilidades de cada uno son diferentes.
Pueden surgir ciertas dudas sobre cuál de las partes implicadas en este marco desempeña el papel de responsable del tratamiento, de encargado del tratamiento o, en su caso, si existe una situación de corresponsabilidad. Para disipar estas dudas, debemos recurrir en primer lugar a la lista de definiciones del RGPD, interpretadas de acuerdo con las Directrices 7/2020 del OEPD sobre los conceptos de responsable y encargado del tratamiento en el RGPD y las Directrices 8/2020 del OEPD sobre la orientación de los usuarios de las redes sociales [2] y la jurisprudencia pertinente del TJUE[3].
En relación con el uso de las redes sociales para la investigación, y sin perjuicio de la citada cautela casuística, se podría afirmar que no existe una situación de corresponsabilidad, en la medida en que los medios y fines de cada operación de tratamiento no son determinados conjuntamente por la red social y la institución encargada del desarrollo de las TIC, sino que la red social permite al desarrollador utilizar su entorno. La relación entre los investigadores y las redes sociales suele basarse en las denominadas políticas del desarrollador. La mayoría de las redes sociales sólo permiten a los investigadores/innovadores recoger datos a través de sus interfaces de programación de aplicaciones (API) si siguen las instrucciones establecidas en dichas políticas. Así pues, los investigadores/innovadores deberán asegurarse de que realmente proceden a hacerlo si quieren evitar asumir la responsabilidad de un tratamiento de datos ilegal. Por supuesto, existe una posible excepción a esta norma general: si un desarrollador contrata los servicios de una red social para que trate los datos en su nombre, esto puede implicar una responsabilidad conjunta (dependerá de las condiciones concretas del contrato y de la forma en que se asignen las responsabilidades sobre los datos a los socios). Sin embargo, si no se aplica dicha excepción:
- la red social tendrá la consideración de responsable del tratamiento en relación con los tratamientos de datos que realice en función de los fines y objetivos que persiga, y el desarrollador de las TIC será responsable del tratamiento en relación con las actividades de tratamiento de datos bajo su control;
- la relación entre el promotor y la red social es la siguiente
- la red social desempeña el papel de proveedor de servicios de la sociedad de la información, y
- la institución de investigación el papel de usuario de servicios de la sociedad de la información.
- las actividades realizadas por la institución de investigación a partir de su perfil de investigador deben ser permitidas por la red social como prestador de servicios de la sociedad de la información, pero ello no implica que exista una situación de corresponsabilidad ni que la licencia de uso de los datos garantice una base jurídica para el tratamiento de los datos personales.
- Así, en los escenarios más comunes, los investigadores e innovadores de las TIC desempeñarán el papel de un tercero en relación con las redes sociales y los sujetos de los datos. La red les proporcionará datos que pertenecen a los interesados. Una vez que estos datos están ya bajo el control de los investigadores/innovadores, éstos se convierten en responsables de dichos datos y asumen las correspondientes responsabilidades.
- Aunque generalmente no existe una situación de control conjunto, no es imposible que se produzca. Por lo tanto, vale la pena recordar las salvaguardias del artículo 26 del RGPD en el caso del control conjunto (véase la sección “Actor principal” de la parte general de estas directrices) entre la red social y la institución de investigación:
- Tanto el desarrollador de las TIC como la red social determinarán, de forma transparente, sus respectivas responsabilidades en cuanto al cumplimiento de las obligaciones derivadas del RGPD, en particular en lo que respecta al ejercicio de los derechos del interesado y a sus respectivos deberes de proporcionar la información mencionada en los artículos 13 y 14, mediante un acuerdo entre ellos.
- El acuerdo
- se pondrá a disposición del interesado;
- podrá designar un punto de contacto para los interesados
- reflejará debidamente las funciones y relaciones respectivas de los corresponsables con respecto a los interesados.
- Por último, todos los responsables, corresponsables y encargados del tratamiento deben recordar que el interesado puede ejercer sus derechos en virtud del RGPD (art. 26.3 del RGPD).
- EDPB Guidelines 07/2020 on the concepts of controller and processor in the GDPR, p. 3, en: https://edpb.europa.eu/our-work-tools/documents/public-consultations/2020/guidelines-072020-concepts-controller-and_en . ↑
- EDPB Guidelines (Guidelines 8/2020 on the targeting of social media users Version 2.0 Adopted on 13 April 2021, en: https://edpb.europa.eu/system/files/2021-04/edpb_guidelines_082020_on_the_targeting_of_social_media_users_en.pdf, p. 11). ↑
- Wirtschaftsakademie (C-210/16), Jehovah’s Witnesses (C-25/17) and Fashion ID (C-40/17). ↑