En octubre, el Comité Europeo de Protección de Datos (CEPD, o EDPB, por sus siglas en inglés) publicó una opinión sobre el cumplimiento del RGPD en la cadena de tratamiento. Este organismo independiente de la Unión Europea tiene como objetivo garantizar la aplicación coherente del Reglamento General de Protección de Datos (RGPD) en todos los Estados miembros. Sus opiniones reflejan su postura oficial sobre cuestiones específicas relacionadas con la interpretación y aplicación del RGPD y otras normativas europeas de protección de datos.
La Opinión 22/2024 puede servir como una guía práctica para las autoridades de protección de datos y para los responsables del tratamiento, sobre cómo garantizar el cumplimiento del RGPD en un entorno cada vez más complejo con múltiples actores involucrados en el procesamiento de datos personales.
La “Cadena de Tratamiento” se refiere a todas las relaciones contractuales y operativas establecidas para llevar a cabo el tratamiento de datos personales conforme a las instrucciones del responsable.
Uno de los puntos principales que trata esta opinión es la necesidad de identificar y supervisar tanto a los encargados como a los subencargados del tratamiento, con el fin de verificar que cumplan con las garantías necesarias para proteger los derechos de los interesados. El CEPD subraya que los responsables deben contar con acceso permanente a información actualizada sobre los subcontratistas, incluyendo datos como el nombre, dirección y persona de contacto, pues esta información no solo resulta fundamental para garantizar la transparencia, sino también para permitir una respuesta ágil ante posibles incidentes de seguridad o solicitudes de acceso de los interesados.
El CEPD señala también que el responsable del tratamiento conserva la autoridad para aprobar o rechazar la contratación de subencargados específicos, incluso cuando existe una autorización general previa, lo que garantiza que la cadena de tratamiento cumpla con los estándares de protección de datos establecidos en el RGPD.
Por otro lado, destaca la importancia de la evaluación de las garantías aportadas por los encargados y subencargados; no basta con confiar en la reputación de un tercero, ya que el RGPD exige verificaciones activas y documentadas para asegurar el cumplimiento. Estas verificaciones (que pueden incluir auditorías, cuestionarios o certificaciones) deben ajustarse al nivel de riesgo asociado al tratamiento de datos. De esta forma, en actividades de bajo riesgo, las medidas pueden ser menos estrictas, pero en casos de alto riesgo, como el uso de tecnologías novedosas o tratamientos que afectan derechos fundamentales, se requiere un escrutinio más riguroso.
Respecto a la obligación de verificar las garantías suficientes de los encargados y subencargados, se trata de una tarea continua, no limitada al momento de la contratación, por lo que los responsables deben realizar evaluaciones periódicas y documentar las medidas adoptadas para garantizar el cumplimiento del RGPD a lo largo del tiempo.
En cuanto a los contratos entre responsables y encargados del tratamiento, son otro eje fundamental en esta Opinión, donde se recomienda incluir cláusulas específicas que garanticen que los encargados procesan los datos únicamente bajo las instrucciones documentadas del responsable, salvo que exista una obligación legal aplicable en la UE o el Espacio Económico Europeo que lo exija. Sin embargo, extender esta excepción a leyes de terceros países es un punto crítico.
El dictamen advierte que estas leyes no pueden ser consideradas automáticamente compatibles con el RGPD y podrían poner en riesgo los derechos de los interesados, por lo que se estima necesario imponer salvaguardias adicionales.
Por lo que se refiere a las transferencias internacionales, el CEPD refuerza la necesidad de mantener el nivel de protección del RGPD en toda la cadena de tratamiento. Para ello, los responsables deben realizar un mapeo completo de las transferencias, identificando qué datos se transfieren, a dónde y con qué propósito. Las medidas de protección, como las decisiones de adecuación o las cláusulas contractuales tipo, deben evaluarse rigurosamente para garantizar que no se comprometan los derechos de los interesados. Este análisis incluye la revisión de las leyes y prácticas locales del país de destino para identificar posibles conflictos con los principios del RGPD.
Por tanto, y teniendo en cuenta todo lo anterior, una vez más, se reafirma que el cumplimiento del RGPD, además de ser una obligación legal, es una práctica que asegura la protección efectiva de los derechos de los interesados, incluso frente a desafíos como las transferencias internacionales y las implicaciones de normativas extranjeras, estableciendo los principios y directrices necesarios para garantizar que las relaciones entre responsables, encargados y subencargados cumplan con los más altos estándares de protección de datos.
