IV. TERCEROS INTERVINIENTES Y LOS CÓDIGOS DE CONDUCTA Y CERTIFICACIÓN

1. CORRESPONSABLES Y REPRESENTANTES NO ESTABLECIDOS EN LA UE

A. Corresponsables

La figura del Corresponsable viene recogida en el art. 26, 82.3-5 y considerandos 79 y 146 del RGPD.

Artículo 26: Corresponsables del tratamiento

  1. Cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento serán considerados corresponsables del tratamiento. Los corresponsables determinarán de modo transparente y de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por el presente Reglamento, en particular en cuanto al ejercicio de los derechos del interesado y a sus respectivas obligaciones de suministro de información a que se refieren los artículos 13 (Información que deberá facilitarse cuando los datos personales se obtengan del interesado) y 14, (Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado) salvo, y en la medida en que, sus responsabilidades respectivas se rijan por el Derecho de la Unión o de los Estados miembros que se les aplique a ellos. Dicho acuerdo podrá designar un punto de contacto para los interesados.
  2. El acuerdo indicado en el apartado 1 reflejará debidamente las funciones y relaciones respectivas de los corresponsables en relación con los interesados. Se pondrán a disposición del interesado los aspectos esenciales del acuerdo.
  3. Independientemente de los términos del acuerdo a que se refiere el apartado 1, los interesados podrán ejercer los derechos que les reconoce el presente Reglamento frente a, y en contra de, cada uno de los responsables.

Artículo 82: Derecho a indemnización y responsabilidad

  1. El responsable o encargado del tratamiento estará exento de responsabilidad en virtud del apartado 2 si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios.
  2. Cuando, de conformidad con el apartado 4, un responsable o encargado del tratamiento haya pagado una indemnización total por el perjuicio ocasionado, dicho responsable o encargado tendrá derecho a reclamar a los demás responsables o encargados que hayan participado en esa misma operación de tratamiento la parte de la indemnización correspondiente a su parte de responsabilidad por los daños y perjuicios causados, de conformidad con las condiciones fijadas en el apartado 2.

El RGPD establece la posibilidad de que exista un tratamiento conjunto de datos de carácter personal, siempre y cuando los responsables del tratamiento determinen conjuntamente los objetivos o finalidades del tratamiento y establezcan los medios necesarios para el mismo. Se pueden dar por ejemplo estos supuestos en la recogida de datos realizada por Grupos Empresariales.

Serán por tanto corresponsables del tratamiento y deberán determinar de forma transparente y de mutuo acuerdo, qué responsabilidad ostentan cada uno en cumplimiento de las obligaciones que marca el RGPD. Para ello, deberán formalizar un acuerdo, en el que se expresen dichas obligaciones y en particular, en el que se indique la forma en la que los interesados serán informados, así como el punto de contacto para ejercitar el derecho de acceso. Dicho acuerdo o un resumen del mismo deberá estar a disposición de los interesados.

Con independencia del establecimiento de un único punto de contacto para el ejercicio de los derechos, lo interesados podrán ejercitar sus derechos frente a cualquiera de los responsables del tratamiento.

Por otro lado y en relación con las posibles responsabilidades que surgen respecto a los daños y perjuicios causados a los interesados, el art. 82 apartado 3 establece que el responsable o encargado de tratamiento no será responsable si demuestra su fala de culpabilidad respecto al daños causado, y por otro lado el art.82 apartado 5, establece que aquel corresponsable que haya pagado una sanción o indemnización de daños y perjuicios podrá reclamar a los demás corresponsables la parte proporcional en función de las responsabilidades asumidas por cada responsable. Se establece por tanto la posibilidad del interesado de reclamar a cualquiera de los corresponsables, los cuales deberán responder por la totalidad con independencia de que con posterioridad puedan repetir contra los demás corresponsables por la parte proporcional en función de la responsabilidad asumida.

El RGPD establece por tanto la completa responsabilidad de los Corresponsables, de tal manera que el interesado puede ejercer sus derechos frente o contra cualquiera de los responsables, asumiendo los mismos la indemnización o reparación del daño con independencia de que fueren o no responsables del mismo. Estos derechos del interesado implican por parte de los corresponsables un análisis y estudio previo del grado de responsabilidad que deberán asumir en los supuestos en los que traten datos personales de forma conjunta, ya que deberán responder ante cualquier demanda o solicitud de indemnización de daños y perjuicios producidos por el ellos mismos o por terceros responsables del tratamiento o corresponsables.

B. Representantes

La figura del Representante viene recogida en el art. 4, 27, y considerando 80.

Artículo 4: Definiciones

  1. «representante»: persona física o jurídica establecida en la Unión que, habiendo sido designada por escrito por el responsable o el encargado del tratamiento con arreglo al artículo 27 (Representantes de responsables o encargados del tratamiento no establecidos en la Unión), represente al responsable o al encargado en lo que respecta a sus respectivas 0obligaciones en virtud del presente Reglamento;

Artículo 27: Representantes de responsables o encargados del tratamiento no establecidos en la Unión

  1. Cuando sea de aplicación el artículo 3, (Ámbito territorial) apartado 2, el responsable o el encargado del tratamiento designará por escrito un representante en la Unión.
  2. Esta obligación no será aplicable a:
    1. el tratamiento que sea ocasional, que no incluyan el manejo a gran escala de categorías especiales de datos indicadas en el artículo 9, (Tratamiento de categorías especiales) apartado 1, o de datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, (Condenas e infracciones) y que sea improbable que entrañe un riesgo para los derechos y libertades de las personas físicas, teniendo en cuenta la naturaleza, contexto, alcance y objetivos del tratamiento, o
    2. las autoridades u organismos públicos.
  3. El representante estará establecido en uno de los Estados miembros en que estén los interesados y cuyos datos personales se traten en el contexto de una oferta de bienes o servicios, o cuyo comportamiento esté siendo controlado.
  4. El responsable o el encargado del tratamiento encomendará al representante que atienda, junto al responsable o al encargado, o en su lugar, a las consultas, en particular, de las autoridades de control y de los interesados, sobre todos los asuntos relativos al tratamiento, a fin de garantizar el cumplimiento de lo dispuesto en el presente Reglamento.
  5. La designación de un representante por el responsable o el encargado del tratamiento se entenderá sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable o encargado.

Alcance

La obligación de la designación de un representante surge para aquellos responsables o encargados de tratamiento no establecidos en la UE pero que realicen tratamiento de datos personales de interesados que residan en la UE y cuyas actividades de tratamiento estén relacionadas con ofertas de bienes o servicios a dichos interesados, o en el control de su comportamiento, es decir para toda empresa extranjera que ofrezcan bienes o servicios a residentes Europeos, o simplemente estudie el control de su comportamiento en la Unión Europea. (Ver pág. 11 Unidad 1, 3.3 Ámbito Territorial).

No seré necesaria dicha designación:

  • A las autoridades y organismos públicos.
  • Al tratamiento ocasional siempre y cuando el mismo no suponga:
    • Un tratamiento a gran escala de datos personales de categoría especial o de condenas e infracciones penales.
    • Que sea improbable que el tratamiento entrañe riesgo para los derechos y libertades de las personas físicas.

Contenido

El Representante podrá establecerse en cualquier de los Estados miembros en los que se encuentren los interesados y cuyos datos personales son tratados, bien para la oferta de bienes y servicios o bien para el estudio del comportamiento.

Entre sus funciones se encargarán fundamentalmente la atención de las consultas de cualquier Autoridad de Control y así como de los interesados sobre cualquier asunto relativo al tratamiento de datos.

La designación deberá constar por escrito según lo establecido en el considerando 80, y con independencia de las funciones que ostenta de cooperación con las autoridades de control o de consulta éstas últimas o de los interesados, se podrán ejercitar acciones contra el propio responsable o el encargado. Así mismo, se establece expresamente por el considerando 80 que el representante podrá ser objeto de sanción o de medidas coercitivas en supuestos de incumplimiento por parte del responsable o del encargado, siendo por tanto recomendable en los acuerdos de designación el establecimiento de fuertes cláusulas de indemnización en el supuesto de sanción por el incumplimiento del responsable o encargado.

CONCLUSIONES:

  • Los corresponsables deberán establecer por escrito el acuerdo en el que se identifique la responsabilidad de cada uno, debiendo facilitar copia o resumen el mismo a los interesados.
  • Cualquier de los corresponsables podrá responder de los daños y perjuicios causados, pudiendo con posterioridad repetir contra los mismos por la parte proporcional de responsabilidad que corresponda a cada uno.
  • La designación de Representante es obligatoria para aquellos responsables o encargados no establecidos en la UE cuyas actividades de tratamiento estén relacionadas con ofertas de bienes o servicios a residentes europeos o estudios en el control de su comportamiento.
  • El Representante podrá ser responsable de los incumplimientos del responsable o encargado.

A partir del 01-01-2024 DATA PRIVACY OUTSOURCING & INFORMATION TECHNOLOGY LAW S.L. (DPO&IT LAW) se ha integrado en el despacho de abogados de Club Legal Asesores Internacionales, S.L. (CLUB LEGAL) con el propósito de fortalecer nuestras capacidades actuales y ofrecerles nuevos servicios relacionados con cualquiera de las áreas de práctica legal y jurídica que pueden ver en https://www.clublegal.es/

X