El Comité Europeo de Protección de Datos publica su opinión sobre la delegación en encargados y subencargados del tratamiento

El Comité Europeo de Protección de Datos (CEPD o EDPB, por sus siglas en inglés) ha emitido, el 8-10-2024, la Opinión 22/2024¹ en la que aclara la interpretación del artículo 28 del Reglamento General de Protección de Datos² (RGPD) sobre las obligaciones de los responsables del tratamiento cuando contratan a encargados y subencargados para esta función.

Estas indicaciones surgen a iniciativa de la autoridad de supervisión danesa, que solicitó al CEPD que emitiera una opinión sobre la interpretación del artículo citado.

La opinión se centra en:

• las obligaciones de los responsables del tratamiento cuando recurren a encargados y subencargados;
• los contratos entre el responsable y el encargado del tratamiento, y
• las cuestiones referidas al tratamiento de datos personales en el Espacio Económico Europeo (EEE), y el tratamiento posterior a una transferencia a otro país.

Interpretación homogénea del artículo 28 del RGPD

El CEPD parte del principio general de que las autoridades de supervisión tienen que interpretar el artículo en cuestión de forma que:

• la contratación de encargados del tratamiento no rebaje el nivel de protección de los derechos de los interesados, y
• exijan al responsable del tratamiento que sea capaz de demostrar que ha verificado suficientemente que sus encargados y subencargados pueden cumplir esa función con las garantías adecuadas.

Aclaración sobre las obligaciones

De los responsables del tratamiento

La opinión recalca las siguientes obligaciones de estos responsables:

1. Tener identificados a todos los encargados y subencargados.
   • El CEPD recalca que, al atender el derecho de acceso, el responsable tiene que informar al interesado de los destinatarios o categorías de destinatarios de sus datos, entre ellos los encargados y subencargados del tratamiento.
2. Verificar las garantías que ofrecen los subencargados del tratamiento para aplicar las medidas técnicas y organizativas apropiadas.
   • La decisión última sobre la contratación corresponde al responsable del tratamiento, aunque el encargado sea el que proponga a los subencargados.
   • La suficiencia de estas garantías debe valorarlas según los riesgos del tratamiento que se subcontrata.
3. Mantener auditorías de muestreo para comprobar que los contratos con los subencargados del tratamiento recogen las garantías necesarias.
   • Si los tratamientos generan un riesgo alto para los derechos y libertades de los interesados, el responsable del tratamiento ha de verificar la información remitida por el encargado con exhaustividad.

De los encargados del tratamiento

Para estas figuras, la opinión aclara las siguientes obligaciones:

1. Disponer de la identidad actualizada de todos los subencargados.
2. Proporcionar al responsable toda la información de los subencargados y una descripción del tratamiento que se les delega.
3. Aunque el encargado responda ante el responsable de la actividad de los subencargados, la responsabilidad última del tratamiento es del responsable.
   • Sin menoscabo de lo anterior, el responsable del tratamiento puede exigir responsabilidades al encargado si un subencargado incumple sus obligaciones.

Contrato entre responsable y encargado

El contrato tiene que recoger que el encargado del tratamiento atenderá solo las instrucciones documentadas del responsable, salvo que esté obligado por el Derecho de la Unión o de los Estados miembros al que esté sujeto.

El CEPD considera muy recomendable, aunque no obligatorio, incluir esta última excepción, pues su ausencia no exonera al encargado del tratamiento del cumplimiento de sus obligaciones legales.

Transferencias internacionales de datos

En este sentido, el RGPD:

1. No impide que se incluyan en el contrato disposiciones para cumplir requisitos legales de otros sobre el tratamiento de los datos personales;
   • sin embargo, la legislación de otros países no tiene el mismo rango de obligatoriedad que el Derecho de la Unión Europea, y
   • una cláusula con una salvedad del estilo de «a menos que así lo exija la ley o una orden vinculante de un organismo gubernamental» no exime al encargado del tratamiento de cumplir con el RGPD.
2. Destaca los siguientes puntos sobre estas transferencias:
   • la transferencia internacional de datos no exime al responsable del tratamiento de las obligaciones del RGPD, incluida la de implantar las salvaguardias precisas para proteger los datos durante esa transferencia;
   • si el encargado del tratamiento comunica los datos a otro encargado o a un responsable del tratamiento del otro país siguiendo instrucciones del responsable del tratamiento, el encargado actúa como exportador de datos en nombre del responsable; así:
     • el encargado ha de verificar que ese país ofrece un nivel adecuado de protección de datos o que existen las garantías apropiadas, y
     • el responsable del tratamiento debe comprobar que el encargado analiza las transferencias, determina qué datos personales se transfieren (incluido el acceso remoto), a qué destino y con qué fines.
3. Aclara que los contratos entre responsables y encargados han de incluir cláusulas que regulen las garantías para las transferencias internacionales, entre ellas las referidas a que  el encargado tiene que cumplir estos requisitos al contratar a algún subencargado.