Aunque un responsable del tratamiento consiga encontrar una base jurídica para dar acceso a los datos a terceros, esto no significa que las garantías y los requisitos del RGPD no se apliquen a estos conjuntos de datos. Del mismo modo, un investigador que obtenga acceso a una base de datos debe ser consciente de las implicaciones jurídicas que su nueva posición (como responsable del tratamiento, corresponsable del tratamiento o encargado del tratamiento) puede acarrear (véase la sección “Principales actores” de la Parte II de estas Directrices).  Además, habrá que volver a cumplir el requisito de equidad y transparencia. Esto significa que los interesados deben ser informados de sus derechos en cuanto a este tratamiento posterior. Todos los demás principios del RGPD deberán cumplirse también en relación con este tratamiento posterior.

Para aclarar las funciones que deben desempeñar las distintas partes implicadas en los acuerdos de transferencia de datos y garantizar que las disposiciones del RGPD se apliquen adecuadamente, es necesario y aconsejable celebrar contratos. Estos contratos deben abarcar todos los detalles de las operaciones de tratamiento de datos, incluido el objeto (datos que deben tratarse), la duración del tratamiento, la finalidad del tratamiento de datos, la naturaleza del tratamiento, la naturaleza de los datos, las categorías de interesados, etc. Deben especificar cómo se protegerán los derechos de los interesados y quién lo hará. Todo el mundo debe ser plenamente consciente de las funciones, las responsabilidades y los derechos de cada parte implicada. Ni que decir tiene que los contratos deben incluir también cláusulas sobre las medidas de seguridad, el almacenamiento de datos, los derechos de auditoría, la notificación de infracciones y, en general, todas las cuestiones delicadas que contempla el RGPD. Estas cláusulas deben aclarar las diferentes obligaciones que asume cada parte firmante.

También existen contratos estándar para los diferentes casos, incluyendo, por ejemplo, la corresponsabilidad. Los investigadores que proporcionen acceso a sus bases de datos deberán incluir cláusulas detalladas dedicadas a la gestión del consentimiento para el tratamiento posterior, ya que son el controlador inicial que transmite los datos personales.

Independientemente de si el proyecto es de naturaleza académica o comercial, los responsables del tratamiento deben proporcionar a los interesados la misma información que se proporciona cuando los datos se recogen directamente de los interesados, incluyendo, entre otras cosas, quién es el responsable del tratamiento y cómo ponerse en contacto con él, los fines del tratamiento y la base jurídica del mismo, así como los derechos del interesado. Además, los interesados deben ser informados de la fuente de la que proceden los datos personales y de si proceden de fuentes de acceso público. La obligación de información debe cumplirse en un plazo razonable desde la obtención de los datos, pero a más tardar en un mes. Se aplican excepciones a esta obligación (por ejemplo, si el interesado ya dispone de la información). Los detalles completos sobre el alcance de esta obligación y las excepciones aplicables figuran en el artículo 14 del RGPD (véase “Derecho a la información” en la parte II, sección “Derechos del interesado”).