Identificar cuando una empresa es corresponsable del tratamiento


Josep Aragonés Salvat     07/11/2019



Cuando una empresa determina, conjuntamente con otra empresa, los fines y los medios de un tratamiento de datos personales, será corresponsable del tratamiento (CT).

O sea, cuando una empresa decide o administra datos que son responsabilidad de otra empresa, se convierte en CT. Cuando esto sucede, las dos empresas serán CT del fichero que tratan conjuntamente.

Las empresas corresponsables del tratamiento (CT) serán consideradas responsables de tratamiento (RT) de las actividades que les hayan sido asignadas mediante un acuerdo con las otras empresas, y como tales, estarán obligadas a cumplir las normativas de privacidad en todo lo que les afecte como RT.

Los CT deben formalizar entre ellos un acuerdo que determine las funciones que corresponden a cada empresa con respecto al tratamiento y a los procedimientos y mecanismos que utilizarán para el ejercicio de los derechos del interesado. Los aspectos esenciales de dicho acuerdo deberán estar a disposición de los interesados, por lo que se recomienda añadirlos en la información que se facilita del tratamiento o que se publiquen en los medios de comunicación del CT (web, RRSS, etc.).
 

Ejemplos de corresponsabilidad
 
El ejemplo más claro para identificar los CT es un grupo de empresas, cuando la empresa matriz administra los datos de las empresas filiales (determina o decide parte del tratamiento). En estos casos, es casi seguro que la matriz decide sobre algunos ficheros de la filial, por lo que las dos empresas serán CT porque comparten el tratamiento de algún fichero. Vamos a poner un ejemplo en este sentido:

  • Fichero laboral: la filial es la que tiene contratados los empleados, pero la matriz decide sobre contratos, nóminas, etc. La filial es la RT que realiza la mayor parte del tratamiento y la matriz es la RT que administra la otra parte del mismo. En este caso, los fines del tratamiento son complementarios, ya que la finalidad de la filial es la gestión laboral, y la de la matriz es la gestión administrativa.
 
Cuando dos empresas son semejantes en cuanto a jerarquía, o sea, no son matriz y filial, se debe determinar si alguna de ellas decide sobre los tratamientos que realiza la otra. Si no es el caso y solo comparten información, podrán ser:
  • Encargados de tratamiento (ET), si realizan el tratamiento por cuenta de la otra empresa -por encargo-.
  • Destinatarios de datos (DT), si tratan los datos de la otra empresa por cuenta propia, según sea la relación establecida entre ambas empresas.
 
Otro ejemplo puede ser los concesionarios de automóviles. Hay marcas que se consideran CT, otras RT y otras DT. En este caso se pueden dar todas las situaciones:
  • Corresponsable de tratamiento (CT) cuando la marca decide sobre la relación comercial de los clientes del concesionario, o sea se hace responsable de las campañas de marketing, satisfacción, encuestas, etc.
  • Encargados de tratamiento (ET), cuando la marca considera que los clientes son suyos y el concesionario realiza el tratamiento por cuenta de la marca.
  • Destinatarios de datos (DT), cuando la marca trata los datos por cuenta propia, sin afectar al tratamiento que realiza el concesionario, por ejemplo, la tramitación de garantías, seguros, servicios financieros, de la propia marca.
 
Otros ejemplos de CT:
  • Administrador de fincas, cuando haya sido nombrado de manera que esté autorizado a decidir por su cuenta los fines y los medios de tratamiento de los datos relativos a la comunidad de propietarios. En este caso serán CT del tratamiento de todos los datos que conciernen a los propietarios.
  • Graduados sociales o abogados, cuando estén autorizados a decidir por su cuenta los fines y los medios de tratamiento de los datos relativos a los empleados de sus clientes: nóminas, seguros sociales, etc. En este caso sólo serán CT del tratamiento de los datos que conciernen a los empleados de sus clientes.
  • Videovigilancia compartida, cuando varias empresas usan las mismas cámaras de videovigilancia porque los interesados transitan por locales de distinta responsabilidad. En este caso sólo serán CT del tratamiento del fichero de videovigilancia.
  • Clientes compartidos mediante una única plataforma accesible por internet, cuando varias empresas comparten la misma información de una persona y le presten servicios distintos. En este caso solo serán CT del fichero que contiene los datos identificativos y de contacto de los clientes comunes. Los demás tratamientos serán responsabilidad de cada una de las empresas, ya que no compartirán más información.
 
 
 
Normativa relacionada
 
RGPD. Artículo 26 Corresponsables del tratamiento
1. Cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento serán considerados corresponsables del tratamiento. Los corresponsables determinarán de modo transparente y de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por el presente Reglamento, en particular en cuanto al ejercicio de los derechos del interesado y a sus respectivas obligaciones de suministro de información a que se refieren los artículos 13 y 14, salvo, y en la medida en que, sus responsabilidades respectivas se rijan por el Derecho de la Unión o de los Estados miembros que se les aplique a ellos. Dicho acuerdo podrá designar un punto de contacto para los interesados.
2. El acuerdo indicado en el apartado 1 reflejará debidamente las funciones y relaciones respectivas de los corresponsables en relación con los interesados. Se pondrán a disposición del interesado los aspectos esenciales del acuerdo. 3. Independientemente de los términos del acuerdo a que se refiere el apartado 1, los interesados podrán ejercer los derechos que les reconoce el presente Reglamento frente a, y en contra de, cada uno de los responsables.
 
LOPDGDD. Artículo 20. Sistemas de información crediticia.
1. Salvo prueba en contrario, se presumirá lícito el tratamiento de datos personales relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito por sistemas comunes de información crediticia cuando se cumplan los siguientes requisitos:
...
2. Las entidades que mantengan el sistema y las acreedoras, respecto del tratamiento de los datos referidos a sus deudores, tendrán la condición de corresponsables del tratamiento de los datos, siendo de aplicación lo establecido por el artículo 26 del Reglamento (UE) 2016/679.
 
LOPDGDD. Artículo 29. Supuestos de corresponsabilidad en el tratamiento.
La determinación de las responsabilidades a las que se refiere el artículo 26.1 del Reglamento (UE) 2016/679 se realizará atendiendo a las actividades que efectivamente desarrolle cada uno de los corresponsables del tratamiento.
 
LOPDGDD. Artículo 74. Infracciones consideradas leves.
Se consideran leves y prescribirán al año las restantes infracciones de carácter meramente formal de los artículos mencionados en los apartados 4 y 5 del artículo 83 del Reglamento (UE) 2016/679 y, en particular, las siguientes:
...
h) La falta de formalización por los corresponsables del tratamiento del acuerdo que determine las obligaciones, funciones y responsabilidades respectivas con respecto al tratamiento de datos personales y sus relaciones con los afectados al que se refiere el artículo 26 del Reglamento (UE) 2016/679 o la inexactitud en la determinación de las mismas.
i) No poner a disposición de los afectados los aspectos esenciales del acuerdo formalizado entre los corresponsables del tratamiento, conforme exige el artículo 26.2 del Reglamento (UE) 2016/679.