Identificar quan una empresa és corresponsable del tractament
Josep Aragonés Salvat 07/11/2019
Quan una empresa determina, conjuntament amb una altra empresa, els fins i els mitjans d'un tractament de dades personals, serà corresponsable de l'tractament (CT).
És a dir, quan una empresa decideix o administra dades que són responsabilitat d'una altra empresa, esdevé CT. Quan això succeeix, les dues empreses seran CT de el fitxer que tracten conjuntament.
Les empreses corresponsables del tractament (CT) seran considerades responsables del tractament (RT) de les activitats que els hagin estat assignades mitjançant un acord amb les altres empreses, i com a tals, estaran obligades a complir les normatives de privacitat en tot el que els afecti com a RT.
Els CT han de formalitzar entre ells un acord que determini les funcions que corresponen a cada empresa pel que fa al tractament i als procediments i mecanismes que utilitzaran per a l'exercici dels drets de la persona interessada. Els aspectes essencials de l'esmentat acord hauran d'estar a disposició dels interessats, per la qual cosa es recomana afegir-los en la informació que es facilita del tractament o que es publiquin en els mitjans de comunicació del CT (web, XXSS, etc.).
Exemples de corresponsabilitat
L'exemple més clar per identificar els CT és un grup d'empreses, quan l'empresa matriu administra les dades de les empreses filials (determina o decideix part del tractament). En aquests casos, és gairebé segur que la matriu decideix sobre alguns fitxers de la filial, de manera que les dues empreses seran CT perquè comparteixen el tractament d'algun fitxer. Anem a posar un exemple en aquest sentit:
- Fitxer laboral: la filial és la que té contractats els treballadors, però la matriu decideix sobre contractes, nòmines, etc. La filial és la RT que realitza la major part del tractament i la matriu és la RT que administra l'altra part de la mateixa. En aquest cas, els fins del tractament són complementaris, ja que la finalitat de la filial és la gestió laboral, i la de la matriu és la gestió administrativa.
Quan dues empreses són semblants pel que fa a jerarquia, és a dir, no són matriu i filial, s'ha de determinar si alguna d'elles decideix sobre els tractaments que realitza l'altra. Si no és el cas i només comparteixen informació, podran ser:
- Encarregats de tractament (ET), si realitzen el tractament per compte de l'altra empresa -per encàrrec-.
- Destinataris de dades (DT), si tracten les dades de l'altra empresa per compte propi, segons sigui la relació establerta entre les dues empreses.
Un altre exemple pot ser els concessionaris d'automòbils. Hi ha marques que es consideren CT, altres RT i altres DT. En aquest cas es poden donar totes les situacions:
- Corresponsable de tractament (CT) quan la marca decideix sobre la relació comercial dels clients de l'concessionari, o sigui es fa responsable de les campanyes de màrqueting, satisfacció, enquestes, etc.
- Encarregats de tractament (ET), quan la marca considera que els clients són seus i el concessionari realitza el tractament per compte de la marca.
- Destinataris de dades (DT), quan la marca tracta les dades per compte propi, sense afectar el tractament que realitza el concessionari, per exemple, la tramitació de garanties, assegurances, serveis financers, de la pròpia marca.
Altres exemples de CT:
- Administrador de finques, quan hagi estat nomenat de manera que estigui autoritzat a decidir pel seu compte els fins i els mitjans de tractament de les dades relatives a la comunitat de propietaris. En aquest cas seran CT de el tractament de totes les dades que concerneixen als propietaris.
- Graduats socials o advocats, quan estiguin autoritzats a decidir pel seu compte els fins i els mitjans de tractament de les dades relatives als empleats dels seus clients: nòmines, assegurances socials, etc. En aquest cas només seran CT del tractament de les dades que concerneixen els empleats dels seus clients.
- Videovigilància compartida, quan diverses empreses fan servir les mateixes càmeres de videovigilància perquè els interessats transiten per locals de diferent responsabilitat. En aquest cas només seran CT del tractament de el fitxer de videovigilància.
- Clients compartits mitjançant una única plataforma accessible per internet, quan diverses empreses comparteixen la mateixa informació d'una persona i li prestin serveis diferents. En aquest cas només seran CT de el fitxer que conté les dades identificatives i de contacte dels clients comuns. Els altres tractaments són responsabilitat de cadascuna de les empreses, ja que no compartiran més informació.
Normativa relacionada
RGPD. Article 26 Coresponsables de el tractament
1. Quan dos o més responsables determinin conjuntament els objectius i els mitjans del tractament seran considerats corresponsables del tractament. Els corresponsables de determinar de manera transparent i de mutu acord les seves responsabilitats respectives en el compliment de les obligacions imposades pel present Reglament, en particular pel que fa a l'exercici dels drets de l'interessat i als seus respectives obligacions de subministrament d'informació a què es refereixen els articles 13 i 14, excepte, i en la mesura que, les seves responsabilitats respectives es regeixin pel Dret de la Unió o dels estats membres que se'ls apliqui a ells. L'acord pot designar un punt de contacte per als interessats.
2. L'acord indicat en l'apartat 1 de reflectir degudament les funcions i relacions respectives dels corresponsables en relació amb els interessats. Es posaran a disposició de l'interessat els aspectes essencials de l'acord. 3. Independentment dels termes de l'acord a què es refereix l'apartat 1, els interessats podran exercir els drets que els reconeix el present Reglament front a, i en contra de cada un dels responsables.
LOPDGDD. Article 20. Sistemes d'informació creditícia.
1. Excepte prova en contra, es presumeix lícit el tractament de dades personals relatives a l'incompliment d'obligacions dineràries, financeres o de crèdit per sistemes comuns d'informació creditícia quan es compleixin els següents requisits:
...
2. Les entitats que mantinguin el sistema i les creditores, respecte de l'tractament de les dades referides als seus deutors, tindran la condició de corresponsables del tractament de les dades, i és aplicable el que estableix l'article 26 del Reglament (UE) 2016/679.
LOPDGDD. Article 29. Supòsits de coresponsabilitat en el tractament.
La determinació de les responsabilitats a què es refereix l'article 26.1 del Reglament (UE) 2016/679 s'ha de fer atenent les activitats que efectivament desenvolupi cada un dels coresponsables del tractament.
LOPDGDD. Article 74. Infraccions considerades lleus.
Es consideren lleus i prescriuran a l'any les restants infraccions de caràcter merament formal dels articles esmentats en els apartats 4 i 5 de l'article 83 de l'Reglament (UE) 2016/679 i, en particular, les següents:
...
h) La manca de formalització pels coresponsables del tractament de l'acord que determini les obligacions, funcions i responsabilitats respectives pel que fa al tractament de dades personals i les seves relacions amb els afectats a què es refereix l'article 26 del Reglament (UE) 2016/679 o la inexactitud en la determinació de les mateixes.
i) No posar a disposició dels afectats els aspectes essencials de l'acord formalitzat entre els coresponsables de l'tractament, tal com exigeix l'article 26.2 de l'Reglament (UE) 2016/679.