¿Sabes si tu empresa o entidad tienen un corresponsable? Y que debes hacer? Newsletter julio 2018

Seguimos con las novedades que nos trae la nueva normativa sobre protección de datos europea (R.G.P.D). En esta ocasión vamos a hablar sobre el corresponsable del tratamiento.

Esta figura no aparecía anteriormente en la LOPD .  Por lo tanto desde que entró en vigor el RGPD, es decir, desde el 25 de Mayo de 2016, se considera nueva, incorporándose a la práctica junto con las figuras de responsable de tratamiento (mi empresa) o encargado de tratamiento (mi asesoría, por ejemplo) que ya estaban en la LOPD.

 Su nombre proviene del cargo de “responsable”, tal y como se deduce. De esta manera el art. 26.1 del RGPD establece que esta figura se dará “ cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento”.

Según la Comisión Europea un responsable de tratamiento será correspondable de tratamiento cuando junto con una o más organizaciones (por ejemplo, varias empresas), determinen de manera conjunta «por qué» y «cómo» deberán tratarse los datos personales.

Previamente los corresponsable deberán de llevar a cabo un acuerdo en el concertarán las responsabilidades que cada uno asumirá respecto al RGPD. Las personas a las que se le requieran los datos para el tratamiento se le comunicarán los principales aspectos del acuerdo entre ambos corresponsables.

Generalmente el acuerdo incluirá ,las funciones de cada corresponsable con respecto al tratamiento, los procedimientos y mecanismos para el ejercicio de los derechos de los interesados (acceso, rectificación, supresión…) y las responsabilidades de cada corresponsable con respecto al Reglamento.

Respecto de quiénes suelen ser corresponsables del tratamiento, encontramos una gran variedad, puesto que pueden ser grupos de empresas, sociedades empresariales, empresas públicas,fundaciones que  dependen de otras organizaciones…

Para entenderlo mejor, veamos un ejemplo real: una empresa que presta servicios de guardería a través de una plataforma por internet lleva a la vez, un contrato con otra empresa que le permite ofrecer servicios de valor añadido.

Esos servicios incluyen la posibilidad de que los padres no solo elijan la canguro, sino también que alquilen juegos y DVD, que esta puede traer. Ambas empresas participan en los aspectos técnicos del sitio web.

Las dos empresas han decidido utilizar la plataforma para ambos fines (servicios de guardería y alquiler de DVD o juegos) y a menudo compartirán los nombres de sus clientes. Por tanto, ambas empresas son corresponsables del tratamiento, porque no solo están de acuerdo en ofrecer la posibilidad de «servicios combinados», sino que también diseñan y utilizan una plataforma común y por tanto, tratan ambas los datos personales.

Otro ejemplo podría ser el de una empresa de limpieza  que acuerda con una empresa de almacén la gestión conjunta   del servicio de videovigilancia. En este caso, ambas serían corresponsables de  ese tratamiento de datos, puesto que, ambas quieren la seguridad de las instalaciones y de los medios, ya que pagan el precio  de todo lo incluido en el servicio de  videovigilancia, acceden al visionado de las grabaciones conjuntamente y deciden como actuar en caso necesario.