que es corresponsabilidad

¿Qué es la corresponsabilidad?

La nueva normativa en materia de protección de datos, que entró en vigor en 25 de mayo de este mismo año, ha introducido una nueva figura que antes no existía en la Ley Orgánica de Protección de Datos. Normativa que las empresas necesitan tener en cuenta a la hora de tratar tus datos personales.

Este concepto es el de la corresponsabilidad y se ha creado para cubrir situaciones que no estaban contempladas en la normativa de la LOPD. Cuando dos o más entidades se hacen responsables de un sistema de tratamiento de información personal, deben ponerse de acuerdo respecto a los objetivos y métodos de almacenar y utilizar dicha información.

¿Cuándo están dos entidades unidas por el concepto de la corresponsabilidad?

Antes de nada, sería necesario que determináramos el momento o la situación en que podemos entender que dos o más empresas tienen corresponsabilidad sobre el tratamiento de una base de datos. Por este motivo, puede parecer confuso en un primer momento, e incluso complicado de aplicar, el concepto de responsabilidad conjunta y los términos que lo regulan.

El Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal que tenemos en España no aporta absolutamente nada sobre esto, y se limita a remitirte como lector al artículo 29 del nuevo RGPD para encontrar información al respecto.

Para obtener un conocimiento más profundo sobre la corresponsabilidad, se puede acceder a ciertos informes desarrollados de manera privada y que analizan los papeles de controlador y procesador de una base de datos de carácter personal. En ellos puedes encontrarte una definición más detallada del papel de un responsable y de un encargado de tratamiento, e incluso un desarrollo de los casos de corresponsables.

¿Cómo se entiende entonces la corresponsabilidad desde el RGPD?

Leyendo sobre casos de responsabilidad conjunta, podemos ver que es muy importante saber definir el rol y responsabilidad directa de cada entidad que participa en un mismo proceso de tratamiento de datos. Y que no existe mejor manera para ello que establecer y firmar un contrato entre las distintas partes.

En el contrato es vital determinar qué nivel de responsabilidad tiene cada uno de los responsables sobre nuestros datos personales, porque es muy posible que no se encuentren en condiciones de igualdad sobre su control.

Esto no significa que deje de existir corresponsabilidad. Esta figura legal se mantiene mientras sigan participando varias empresas para un mismo conjunto de datos personales, y la forma más común en que se da esto es en los procesos de servicios encadenados, en los que cada entidad es responsable de cierto uso de los datos según sus necesidades.

Para que sirva de ejemplo y lo puedas entender rápidamente, podemos hablar de las agencias de viajes, las compañías de aviones y los hoteles como un caso puntual en el que no existe corresponsabilidad. Normalmente, una empresa de cada ámbito actúa dentro de una cadena en la que se utilizan para distintos fines los mismos datos acerca de ti como cliente.

Son responsables de forma independiente de cómo utilizan dichos datos y no determinan los objetivos ni los medios de tratamiento en un proceso en común. Para que pudiéramos hablar de corresponsabilidad, las tres empresas deberían, por ejemplo, compartir una misma plataforma de venta online de sus servicios. Al establecer de forma conjunta un sistema para tratar tu información personal, sí que se estaría dando un claro caso de corresponsabilidad.

¿Cómo se enfrentan las empresas a la figura de corresponsabilidad?

Los grupos de empresas, respecto a la idea de corresponsabilidad recogida en el RGPD?, suelen determinar de manera conjunta tanto los medios como los objetivos para tratar bases de datos. Para establecer el papel de cada marca dentro del marco de corresponsables, no existe nada más sencillo y transparente que la firma de un contrato. De este modo, pueden organizar cómo utiliza cada parte el tratamiento de los datos de sus clientes o socios, y esto incluye tanto el uso interno como el que se hace con vistas hacia cada uno de los interesados.

En los casos que se denominan de Responsable vs Encargado dentro del grupo, se entiende el supuesto de que una empresa centralice una actividad transversal a las demás. Sería necesario establecer un contrato que determine la prestación de sus servicios al resto de empresas del grupo.

¿Qué exige el RGPD sobre los casos de corresponsabilidad?

La nueva normativa del RGPD determina que, una vez demostrada la corresponsabilidad de varias entidades sobre nuestros datos, estas tienen la obligación de definir de manera transparente y con acuerdo mutuo el alcance de sus responsabilidades para los mismos datos.

Esto incluye la descripción de sus funciones y la relación que tienen con los interesados de los datos. Especialmente en cuanto a los derechos de cada persona incluida en el tratamiento y la obligación de proporcionar información, recogida en los artículos 13 y 14 del nuevo RGPD.

Como puedes ver, la nueva ley de protección de datos trata de no dejar cabos sueltos, incluso en las relaciones entre empresas.

imagen

Share: