¿Quién es este actor?

Los controladores conjuntos son dos o más controladores que determinan conjuntamente los fines y los medios del tratamiento de los datos personales. Para este tipo de control conjunto, se introducen normas específicas en el RGPD para regular la relación entre los controladores conjuntos.

¿Cuáles son sus tareas?

Las tareas son las mismas que las de un controlador (único), pero las realizan todos los controladores conjuntos.

¿Cuándo se produce un control conjunto?

Se produce un control conjunto cuando se produce un tratamiento específico de datos en el que varios responsables del tratamiento determinan conjuntamente los medios y la finalidad del mismo. Esto significa que varios responsables del tratamiento deciden conjuntamente sobre el tratamiento. En este caso, elComité Europeo de Protección de Datos distingue entre decisiones comunes y decisiones convergentes.

• Decisión común: Los controladores conjuntos deciden conjuntamente con una intención común sobre los medios y fines de la procesión.
• Decisión convergente: “Las decisiones pueden considerarse convergentes en cuanto a los fines y los medios si se complementan entre sí y son necesarias para que el tratamiento se lleve a cabo de tal manera que tengan un impacto tangible en la determinación de los fines y los medios del tratamiento.” ^[1] Esto significa que el tratamiento de cada responsable está vinculado al tratamiento del otro responsable y no sería posible sin él.

El control conjunto también puede surgir si una entidad no tiene acceso a los datos personales. En cuanto a los medios del tratamiento, no todos los corresponsables tienen que determinar todos los medios en todo momento. Diferentes responsables del tratamiento pueden utilizar diferentes medios en diferentes fases del tratamiento de los datos personales. Lo mismo ocurre con los fines de los datos. Si bien se produce un control conjunto cuando los datos personales se tratan con la misma finalidad para todos los responsables del tratamiento, también puede producirse si las finalidades de los distintos responsables del tratamiento están estrechamente vinculadas entre sí o son complementarias. Esto significa que, si el tratamiento beneficia a todos los responsables del tratamiento y todos los responsables del tratamiento han acordado los fines y los medios, se forma un control conjunto.

Sin embargo, la noción de control conjunto requiere una cuidadosa consideración y debe decidirse caso por caso. Una visión clara de la relación entre todas las partes implicadas, así como del flujo de datos, es elemental para determinar si existe o no un control conjunto. El Comité Europeo de Protección de Datos ofrece múltiples ejemplos en sus directrices sobre esta cuestión. ^[2]

¿Cuáles son sus derechos y responsabilidades?

Los derechos y responsabilidades de los corresponsables se definen en el art. 26(1-2) del RGPD. En este caso, los corresponsables del tratamiento

“determinarán de forma transparente sus respectivas responsabilidades en cuanto al cumplimiento de las obligaciones derivadas del presente Reglamento, en particular en lo que respecta al ejercicio de los derechos del interesado y a sus respectivos deberes de facilitar la información a que se refieren Articúlos 13 y 14mediante un acuerdo entre ellos, a menos que, y en la medida en que, las responsabilidades respectivas de los responsables del tratamiento estén determinadas por el Derecho de la Unión o de los Estados miembros al que estén sujetos los responsables del tratamiento. El acuerdo podrá designar un punto de contacto para los interesados”

Para ello, deben utilizarse contratos estándar entre los responsables conjuntos del tratamiento para determinar claramente a qué responsable del tratamiento le corresponden exactamente las responsabilidades y tareas. Esto incluye determinar los fines del tratamiento, así como los medios del mismo.^[3] Los interesados deben recibir la información de contacto de uno de los responsables del tratamiento para que les resulte más fácil determinar a quién deben dirigirse exactamente en caso de problemas relacionados con el tratamiento de los datos. Además, la asignación de responsabilidades y los resultados esenciales del acuerdo (el contrato) entre los corresponsables del tratamiento deben ponerse a disposición de los interesados. Por ejemplo, un aviso de privacidad para el interesado debería incluir la identificación de los responsables conjuntos y sus tareas y responsabilidades en el tratamiento de datos.

Esta asignación clara de la responsabilidad y la obligación se establece en el considerando 79 del RGPD como condición necesaria para los corresponsables del tratamiento. Sin embargo, el art. 26(3) añade que los interesados pueden dirigirse y ejercer sus derechos contra cualquiera de los corresponsables.^[4]

Ejemplo 1:

Las universidades A, B y C deciden llevar a cabo un proyecto de investigación conjunto. Para este proyecto, cada universidad introduce datos personales en una base de datos proporcionada por una de las universidades para el proyecto de investigación conjunto. A, B y C tratan entonces los datos personales de esta base de datos para su proyecto de investigación conjunto, ya que decidieron de antemano los fines y medios del tratamiento. Esto significa que, en este proyecto de investigación, los datos se recogen para alcanzar un objetivo previamente especificado. A continuación, los datos se analizan utilizando una solución de software específica y previamente determinada. En este escenario, A, B y C son controladores conjuntos, ya que determinaron conjuntamente los medios y los fines del tratamiento. Por lo tanto, todas las universidades deben determinar, mediante acuerdos contractuales, los derechos y responsabilidades de cada parte con respecto al tratamiento de datos de forma transparente.^[5] Además, los interesados deben estar siempre seguros de a qué parte pueden y deben dirigirse en caso de que tengan preguntas o si desean ejercer sus derechos estipulados en el RGPD.

Si una universidad A trata los datos personales de la base de datos con una finalidad distinta a la del proyecto de investigación conjunto, esa universidad A se convierte en un responsable del tratamiento distinto para esa finalidad concreta.

Ejemplo 2:

La empresa A es la matriz de un grupo de empresas B, C y D. Para almacenar los datos de investigación, las filiales utilizan una base de datos alojada y proporcionada por la empresa matriz A.

Cada empresa B, C y D sólo puede acceder a los datos personales que ella misma ha introducido en la base de datos. Además, cada empresa procesa los datos únicamente para sus propios fines.

En este escenario, no existe un control conjunto. Las empresas B, C y D son responsables del tratamiento por separado, ya que determinan los fines del tratamiento de los datos. La empresa A se considera un procesador, ya que proporciona un medio de procesamiento, el almacenamiento de datos personales en su base de datos.

 

 

1. Comité Europeo de Protección de Datos. Directrices 07/2020 sobre los conceptos de responsable y encargado del tratamiento en el RGPD. Versión 1. Adoptada el 2 de septiembre de 2020. Disponible en: https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202007_controllerprocessor_en.pdf p. 18. Último acceso: 30.10.2020. ↑
2. Ibid. P.18ff para ver múltiples ejemplos a favor y en contra de la corresponsabilidad. ↑
3. Ibid. p.3 ↑
4. Para más información sobre el control conjunto, véanse las directrices del SEPD: Directrices del SEPD sobre los conceptos de controlador, encargado del tratamiento y control conjunto en virtud del Reglamento (UE) 2018/1725, p. 22 y siguientes ↑
5. Para más información sobre el control conjunto, véase: SEPD, “Directrices del SEPD sobre los conceptos de responsable del tratamiento, encargado del tratamiento y corresponsabilidad en virtud del Reglamento (UE) 2018/1725”, noviembre de 2019, p. 16 y ss. ↑