LA DILIGENCIA DEBIDA DEL RESPONSABLE DEL TRATAMIENTO EN LA CADENA DE TRATAMIENTO (ENCARGADOS/SUBENCARGADOS)

Recientemente, se ha publicado un dictamen del CEPD 22/2024*sobre las obligaciones de diligencia del responsable del tratamiento en la elección, documentación y control sobre los encargados y subencargados del tratamiento, reforzando la responsabilidad última en el responsable del tratamiento de la decisión de la contratación y la verificación de garantías suficientes en cuanto a medidas apropiadas ofrecidas por aquellos para cumplir con el RGPD y garantizar los derechos de los interesados.

El responsable del tratamiento debe ser diligente en la elección de los proveedores que tratan datos personales por su cuenta eligiendo únicamente a un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento cumpla con el RGPD y garantice la protección de los derechos del interesado.

La obligación de diligencia en cuanto a la elección del proveedor y la adopción de garantías suficientes se debe cumplir en todo caso y con independencia del riesgo asociado al tratamiento, aunque el grado de verificación y supervisión puede variar según la naturaleza y el nivel de riesgo de las actividades de tratamiento.

El responsable del tratamiento debe tener la información sobre la identidad de todos los encargados del tratamiento para cumplir con el RGPD y sus obligaciones de responsabilidad proactiva.

El encargado del tratamiento debe facilitar de forma proactiva al responsable del tratamiento toda la información sobre la identidad de todos los subencargados, que realicen el tratamiento por cuenta del responsable del tratamiento, y debe mantener actualizada en todo momento dicha información sobre todos los subencargados del tratamiento contratados. Cuando el responsable del tratamiento decida aceptar a determinados subencargados del tratamiento en el momento de la firma del contrato, deberá incluirse en el contrato o en un anexo al mismo una lista de subencargados del tratamiento aprobados que deberá estar permanentemente actualizada

A efectos de verificar las garantías ofrecidas, el responsable puede optar por elaborar un cuestionario como medio para recabar información de su encargado del tratamiento, solicitar la documentación pertinente, confiar en la información disponible públicamente y/o certificaciones o informes de auditoría de terceros confiables y/o realizar auditorías in situ.  Está claro que la adhesión de un encargado del tratamiento a un código de conducta o a un mecanismo de certificación de acuerdo con el RGPD puede utilizarse como elemento para demostrar garantías suficientes.

El responsable del tratamiento no tiene la obligación de solicitar sistemáticamente los contratos de subencargado del tratamiento para comprobar si las obligaciones de protección de datos previstas en el contrato inicial se han transmitido a lo largo de la cadena de tratamiento. No obstante, debe  evaluar, caso por caso, si es necesario solicitar una copia de dichos contratos o revisarlos en cualquier momento para poder demostrar el cumplimiento del principio de responsabilidad proactiva e incluso tiene la facultad de  realizar verificaciones por muestreo de los contratos con los subencargados del tratamiento a efectos de verificar que cumplen.

El responsable del tratamiento debe informar a los interesados sobre los destinatarios de los datos, incluyendo a los encargados y subencargados) de manera transparente.

En relación con las posibles transferencias de datos a terceros países fuera de la Unión Europea es responsabilidad del responsable del tratamiento evaluar la posible transferencia, verificando  por una lado,  la existencia de un mapeo de la transferencia realizada por el proveedor que trata datos por su cuenta y, por otro lado, el fundamento usado para la transferencia antes de que se realicen las transferencias, decisión de adecuación, garantías adecuadas, revisión de la  evaluación de impacto de la transferencia y la adopción de medidas complementarias.

En particular, cuando la transferencia se base en una decisión de adecuación, el responsable del tratamiento debe verificar si la decisión está en vigor, y si las transferencias realizadas por cuenta del responsable del tratamiento entran en el ámbito de aplicación de dicha decisión (por ejemplo, categorías de datos personales o sectores incluidos en el ámbito de aplicación).

En definitiva, tras la lectura de este dictamen se constata la necesidad de realizar dos acciones prioritarias. La primera, realizar una auditoría a los encargados y subencargados de tratamiento y la segunda, contar un protocolo que a modo de evidencia documental sirva para demostrar por parte del responsable un control sobre los encargados y subencargados del tratamiento antes, durante y después de su contratación. Como mínimo este protocolo debe reunir el siguiente contenido: conocimiento y control de la cadena de encargados y subencargados del tratamiento, registrarlos y actualizarlos; verificar y documentar las garantías suficientes aportadas; controlar y aprobar los subencargados del tratamiento; gestionar de forma adecuada las posibles transferencias internacionales de datos; facilitar el ejercicio de derechos de los interesados; controles y revisiones periódicas.

*https://www.edpb.europa.eu/system/files/2024-10/edpb_opinion_202422_relianceonprocessors-sub-processors_en.pdf